วิธีตั้งค่า Time sychronization บน Domain Controller.

#Tunning.

ในระบบสิ่งที่สำคัญอีกอย่างนึ่งคือเรื่องของ "เวลา" (Time) ไม่ว่าจะเป็นในส่วนของ Computer devices, applications ร่วมถึง network services ต่างๆ ถ้าหากเวลาไม่ตรงกันอาจจะทำให้เกิดปัญขึ้นได้ เช่นทำให้ข้อมูลที่ถูกแก้ไขไม่ถูกต้อง บ้าง application อาจจะทำงานผิดพลาดหรือแม้กระทั้งเรื่องของ event logs อาจจะทำให้ event ที่เกิดขึ้นจริงและเวลาไม่ตรงกัน ทำให้การแก้ปัญหายากขึ้น.

Network Time Protocol (NTP) Server เป็นอุปกรณ์ที่ใช้สำหรับเทียบเวลาอาจจะเป็น Physical และ application ก็ได้.

ตัวอย่าง Diagram ในบทความนี้.

จากรูปด้านบน.

1- เป็น NTP server ที่ให้บริการสำหรับ sync เวลาในบทความนี้จะเลือกของทาง กรมอุทกศาสตร์ กองทัพเรือ โดยทางเว็บไซต์จะให้บริการอยู่ 2 servers.

• time.navy.mi.th
• time2.navy.mi.th

.Ref: http://www.time.navy.mi.th/

สำหรับผู้ให้บริการ NTP Server ยังมีอีกหลายๆ ผู้ให้บริการภายในประเทศไทย.

2- เป็น server ที่ทำหน้าเป็น NTP server เพื่อให้บริการเทียบเวลาภายในองค์กรจะใช้เป็น apps หรือเป็น Host server ก็ได้. ในบทความนี้จะใช้ Endian Firewall (Freeware) ซึ่งมี feature สำหรับทำเป็น NTP Server โดยจะ sync time กับ time.navy.mi.th, time2.navy.mi.th.

3- กำหนด DC ที่ถือ PDC emulator ทำหน้าที่เป็นตัว sync time.

4- สำหรับ DC ตัวอื่นจะ sync time กับ DC ที่ถือ PDC emulator.

5- Client จะ sync time กับ DC ที่ตัวเองเชื่อมต่ออยู่ ณ. เวลานั้น.

Analyzer จาก BPA.

สำหรับเรื่องของการตั้งค่า time sync จะมีแจ้งเตือนใน Best Practices Analyzer.

จากรูปเป็นการรัน BPA สำหรับ DC จะเห็นว่ามี Error เกี่ยวกับ DC ที่ถือ PDC emulator master ไม่มีการตั้งค่า synchronization time.

ส่วนของ Application ที่ทำหน้าที่เป็น NTP Server.

• ตัวอย่างข้อมูล time souece http://www.time.navy.mi.th/ 
• ตัวอย่าง NTP server (application) ใช้เป็นตัว Endian firewall ซึ่งเป็น Freeware. 

1. จากรูปแสดง Time server ซึ่งจะ sync time มาจาก 2 servers. (time.navy.mi.th, time2.navy.mi.th) ซึ่ง application มี IP Address 172.16.10.254 (เปิดใช้งาน NTP server).

2. เริ่มตั้งค่า Time sync โดย.

ใ้ห้เปิด command line ด้วย run as administrator.

1. เช็ตว่าเครื่องใหนถือ PDC emulator role.
2. ตรวจสอบ Hostname เพื่อมั่นใจว่าตั้งค่าถูกเครื่อง.
3. Run command เพื่อตั้งค่า time sync.
4. หลังจากนั้นให้ run คำสังเพื่อ update การตั้งค่า

Example:

w32tm.exe /config /syncfromflags:manual /manualpeerlists:172.16.10.254,0x8 /reliable:yes /update

ตรวจสอบหลังตั้งค่า

1. เราสามารถตรวจสอบค่า configuration หลังติดตั้ง โดยเปิด Registry Editor โดยไปที่ Windows >Run > พิมพ์ regedit แล้วกด Enter.

เมื่อ registry editor เปิดขึ้นมาไปที่ HKEY_Local_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters ให้ดูค่า NtpServer จะแสดงค่าของ Time server.

2. แสดงการตรวจสอบก่อนและหลังโดยใช้ command line.

ตรวจสอบด้วย cmdlet "w32tm /query /status"

ตรวจสอบด้วย cmdlet "w32tm /query /peers"

ตรวจสอบด้วย cmdlet "w32tm /query /Configuration"

ตรวจสอบ Server และ Client.

ตรวจสอบที่ DC ที่ทำหน้าที่เป็น Time sync (PDC emulator)

จากรูปแสดงให้เห็นว่าเครื่อง DC ที่ถือ PDC emulator จะทำการ sync time (source) จาก NTP Server หมายเลข 172.16.10.254.

ตรวจสอบที่ DC ที่อยู่ภายใน domain เดียวกัน.

จากรูปตรวจสอบเครื่อง DC ที่อยู่ภายใน domain เดียวกันสั่งเกตุว่า sync time (source) จาก เครื่อง DC ที่ถือ PDCemulator อีกที่นึง

ตรวจสอบที่ Client ที่อยู่ภายใน domain.

ในส่วนแรกจะเป็นคำสั่งในการตรวจสอบว่า Client เกาะอยู่ที่ AD ตัวใหนโดยใช้คำสั่ง!

"nltest /dsgetdc:<domain.com>" จะสังเกตุว่า DC ที่เกาะอยู่เป็น ITC-AD02

หลังขากนั้นทำการดูสถาณะของ Time sync จะเห็นว่า sync time source จาก ITC-AD02.115itckp.local.

สรุปได้ว่า:

1. DC ที่ถือ PDC emulator จะเป็นตัวหลักในเรื่องของ sync time.
2. DC ตัวที่เหลือจะมา sync กับ DC ที่ทำหน้าที่เป็น NTP Server.
3. Client จะ sync time กับ DC ที่มันเกาะ ณ. เวลานั้น.

สุดท้ายเรากลับมา scan ด้วย ฺBPA อีกครั้งสังเกตุว่า Error ก่อนหน้านี้ได้หายไปแล้ว.

อ้างอิง:

ข้อมูล PDC emulator role.

Ref: https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-directory/fsmo-roles#pdc-emulator-fsmo-role

ข้อมูล NTP Server (Thailand)

Ref: http://www.time.navy.mi.th/

Read More

วิธีนำเครื่อง Computer เข้าสู่ระบบ Domain (Join Domain)

ในบทความนี้จะเป็นการนำเครื่อง Computer เข้ามาเป็นสมากชิกของ Domain (join domain) เพื่อที่เราจะสามารถความคุมหรือตั้งค่าผ่านต่างๆ โดยใช้ GPO และเราสามารถมั่นใจว่า Computer ที่เข้ามาใช้ระบบมีความปลอดภัยและน่าเชื่อถือ.

ตั้งค่า Network ก่อน join domain.

ก่อนที่จะนำเครื่อง Computer join domain เราจะต้องแน่ใจว่า computer สามารถติดต่อกับ Domain Controller ให้ได้ก่อน.

ตั้งค่า IP Address สำหรับ Computer client.

• IP Address: 172.16.10.200
• Subnet mask: 255.255.255.0
• Default gateway: 172.16.10.254
• Preferred DNS server: 172.16.10.11 (ITC-AD01)
• Alternate DNS server: 172.16.10.12 (ITC-AD02)

1. Sign-in computer ด้วย local administrator ให้เลือกไปที่ Windows > Settings.

2. ให้เลือก Network & internet > เลือก Ethernet.

3. ให้เลือก Edit ที่ IP assignment.

4. ตั้งค่า Network ตามที่ได้กำหนดข้างต้น หลังจากนั้นให้กด Save.

5. หลังจากบันทึกแล้วจะแสดงรายละเอียดของ IP Address.

6. ทดสอบการเชื่อมต่อ (connection) ระหว่าง Client และ Domain Controller.

โดยเราสามารถเช็ค DNS loopup และ connection ดั่งนี้.

• ใช้คำสั่ง nslookup แล้วตามด้วย domain name.
• จะ return addresses ของ DC ที่อยู่ในระยย
• ทดสอบด้วยการใช้คำสั่ง ping ไปยัง domain เพื่อทดสอบ connectiont (จะต้อง allow ICMP port)

ขั้นตอนการ Join domain.

ข้อมูลที่ใช้ในการ join domain มีดังนี้.

• ชื่อของ Domain หรือ NetBIOS domain name ใช้เป็น "115itckp"
• ใช้ User account ในการ join domain โดยค่าเริ่มต้น user สามารถ join domain ได้ (User สามารถ join domain ได้แต่ถูกจำกัดไว้ไม่เกิด 10 devices Link )
• Sign-in ด้วย local administrator.

1. sign-in ด้วย local administrator (itcadmin เป็น account ที่ถูกสร้างในขณะที่ติดตั้ง) แล้วไปที่ปุ่ม Windows > เลือก Settings..

2. .ให้เลือก System > About > เลือกที่ Domain or workgroup.

3.เลือกแท็บ Computer Name > เลือก Change.... ในตัวอย่างจะมีการกรอกข้อมูล 2 หัวข้อ.

• กรอกชื่อ Computer name: ITC-PC01 (ในกรณีที่ไม่ได้เปลี่ยนชื่อ Computer ตั้งแต่แรกอยู่แล้ว).
• Member of Domain: 115itckp (ใช้ Net BIOS domain name).

หลังจากนั้นให้เลือก OK.

4. หลังจากนั้นจะมีหน้าต่าง Welcome to the domain 115itckp domain ให้เลือก OK.

5. เครื่อง Computer จะให้ restart เพื่อ apply การตั้งค่า ให้คลิก OK ทั้ง 3 หน้าต่าง.

6. ให้กดปุ่ม Restart now เพื่อทำการ restart ได้เลย.

7. หลังจาก restart เครื่องกลับมาแล้ว เวลาจะ sign-in เข้าระบบจะแสดงข้อความ Sign in to: 115ITCKP.

ทดสอบเข้าใช้งาน Computer หลัง join domain.

หลังจากที่เราได้ join domain เสร็จแล้วเราสามารถใช้ user account ที่ถูกสร้างบน domain controller ในการ sing-in เข้าระบบได้เลย.

1. เข้าใช้งานระบบด้วย User ที่ถูกสร้างบน AD DS โดยใส่ Username และ password แล้วกด Enter.

2. ระบบจะแจ้งให้ User change password ในครั้งแรกที่ทำการ logon ให้เลือก OK.

3. ให้ตั้ง Password ใหม่โดยจะต้องห้ามซ้ำกับ password เดิม.

4. โดยกรอก New password และ Confirm password และกดปุ่ม Enter.

5. ให้กด OK.

6. เมื่อเปลี่ยน password สำเร็จจะแสดง account ที่ใช้ในการ sign-in เข้าระบบ computer.

7. เราสามารถตรวจสอบ computer ว่าเป็น member ของ domain ได้โดยไปที่ Windows > Settings > Account > Access work or school > สังเกตุว่าจะมี icon Connected to 115ITCKP AD domain

ตรวจสอบในระบบ Domain Controller

1. เปิด ADUC แล้วไปที่ OU ชื่อ Computers สังเกตุว่ามี Computer ที่เราได้ join domain มาอยู่ที่ OU นี้.

ตรวจสอบที่ DNS Server.

1. ไปที่ Server Manage > Tools > DNS server > เข้าไปที่ Forward Lookup Zone > เลือก 115itckp.local >สั่งเกตุว่าจะมี Host (A) ของ Client ถูกสร้างขึ้นมาใน DNS server ด้วย.

Read More

วิธีสร้างผู้ใช้งานใหม่ในระบบ AD DS (พนักงานใหม่).

เราสามารถสร้าง User account บน AD DS เพื่อรองรับความต้องขององค์กร โดยเราสามารถสร้าง User account ให้กับผู้งานเพื่อใช้ในการยืนยันตัวตน เพื่อเข้าใช้งานระบบ หรือสร้าง user account สำหรับใช้งานกับ services ต่างๆ ตามที่องค์กรต้องการก็ได้.

ในบทความนี้เป็นการสร้าง User ให้กับพนักงานใหม่ เพื่อให้ user สามารถ sing-in เข้า computer ได้และร่วมถึงการใช้งาน services ต่างๆ เป็นต้น.

ข้อมูลตัวอย่างในการสร้าง User account.

ชื่อ-นามสกุล: Mr. Jesus Graham

ชื่อสำหรับเข้าระบบคอมพิวเตอร์: jesus.gr

แผนก: Information Technology

ตำแหนง: System Engineer

สังกัด(บริษัท): 115itckp Corp

ประจำ Office: Bangkok TW

ที่อยู่: 9999 Phet Kasem Rd, Bang Wa, Phasi Charoen Bangkok 10160

การสร้าง user account มีขั้นตอนดังนี้.

1. เปิด Server Manager > Tools > เลือก Active Directory Users and Computers.

2. ให้คลิกเลือก OU ที่ต้องการสร้าง user แต่ถ้ากรณีเลือกที่ root domain ตัว user จะถูกสร้างเก็บใน Users container.

ให้คลิกขวาที่ OU หรือพื้นที่ว่างของ OU > ให้เลือก New > User หรือจะคลิกที่ icon new user ก็ได้.

3. กรอกข้อมูลของ Users ดังนี้.

• First name: ใส่ชื่อ (Jesus).
• Last name: ใส่นามสกุล (Graham).
• Full name: auto fill (Jesus Graham).
• User logon name: กำหนดเป็น Jesus.Gr (ตัวอยางกำหนดเป็น ชื่อ(dot)นามสกุล 2 ตัวแรก).
• User logon name(pre-Windows 2000): auto fill เหมือนกับ logon name.

หลังจากนั้นคลิก Next.

4. กรอก Password และ Confirm password (การตั้งค่า Password ไม่ควรจะเดาได้ง่าย)

เราสามารถเลือก option เพิ่มเติมได้ดังนี้.

• User must change password at next loon: (เมื่อ user logon ในครั้งแรก หรือครั้งถัดไปหลังจากเลือก option นี้ระบบจะบังคับให้เปลี่ยน password).
• User cannot change password: (ห้าม user change password).
• Password never expires: (password จะไม่มีวันหมดอายุ ส่วนใหญ่จะใช้กับ service account).
• Account is disabled: (หลังจากสร้าง user เสร็จจะ disabled user).

หลังจากนั้นให้คลิก Next.

5. คลิก Finish เพื่อสร้าง user และปิดหน้าต่างนี้ไป.

6. หลังจากนั้น user จะถูกสร้างใน OU ที่เราต้องการ.

7.สำหรับข้อมูลอื่นๆ ของ User ถ้าหากต้องการตั้งค่าให้คลิกขวาที่ user แล้วเลือก Properties (จะเพิ่มก็ได้ขึ้นอยู่กับองค์กร) ในส่วนนี้จะเป็น optional จะมีก็ได้ไม่มีก็ได้.

8. ในแท็บ General เราสามารถเติมข้อมูล attribute ที่เราต้องการเช่น Office หรือพวกเบอร์โทรศัพท์ และ Email เป็นต้น ส่วนในตัวอย่างจะเพิ่มข้อมูลของ Office.

9. ในแท็บ Address เราสามารถเพิ่มข้อมูลที่อยู่ (address) ของ user ได้โดยอ้างอิงกับข้อมูลด้านบน.

10. ในแท็บ Organization เราสามารถใส่ข้อมูลเกี่ยวกับบริษัท เช่น ตำแหน่ง (Job Title), แผนก  (Department), บริษัท (Company).

Read More

วิธีสร้าง Organizational Unit (OU).

Organizational Unit (OU) ใน Domain Controller จะใช้ในการเก็บทรัพยากรในระบบเครืองข่ายของเราในเชิ่ง logical เช่น Users, Computers, Groups, File shared หรือ Printer และอื่นๆ.

การออกแบบ Organizational Unit (OU) ไม่จำเป็นจะต้องอิงตาม Organization chart ขององค์กร จุดประส่งค์ของการสร้าง OU หลักๆ จะมีดังนี้.

• ใช้สำหรับเก็บ AD object เช่น Users, Groups หรือ Computer เป็นต้น.
• ใช้สำหรับกำหนดสิทธิ์ให้กับผู้ดูแลระบบ (Delegation Administrator).
• ใช้สำหรับ deploy Group Policy Object (GPO)

ดังนั้นการออกแบบ OU ที่ดีควรให้ตอบโจทย์การใช้งานและตรงตามเป้าหมายที่เราต้องการ.

หมายเหตุ:

สำหรับการสร้าง OU เราสามารถสร้างได้หลาย levels (sub OU) Microsoft ไม่ได้มีข้อจำกัดในเรื่องของจำนวน OU ว่าจำกัดไว้ที่กี่ OU แต่แนะนำให้สร้างไม่ควรเกิน 10 levels แต่อาจจะมีเรื่องของจำนวนตัวอักษรในการตั้งชื่อ OU. Ref

ค่าเริ่มต้นของ AD DS มี Organizational Unit ดังต่อไปนี้.

หลังจากเราติดตั้ง AD DS เสร็จเรียบร้อยแล้วระบบจะมี Organizational Unit (OU) และ Conttener เป็นค่าเริ่มต้น.

• Builtin เก็บ service administrator accounts.
• Computers เก็บ computer ที่ join domain โดยปกติเมื่อ join domain, computer จะถูกมาสร้างและเก็บไว้ใน Container นี้.
• Domain Controllers เก็บ Computer accounts ของเครื่องที่ทำหน้าที่เป็น Domain Controller.
• ForeignSecurityPrincipals เก็บ object จาก Trust domains อื่น.
• Managed Service Accounts เก็บ account ที่ใช้ในการ run application services เช่นพวก M.
• Users เก็บ user accounts และ groups ถูกสร้างระหว่างติดตั้ง AD DS.

การจัดการ OU โดยใช้ Active Directory Users and Computers (ADUC).

การสร้าง (New) Organizational Unit.

1. ไปที่ Server Manager> Tools> Active Directory Users and Computers> คลิก root domain "115itckp.local" หลังจากนั้นให้คลิกขวาที่ 115itckp.local > คลิกขวาเลือก New> เลือก Organizational Unit.

2. ให้กรอกข้อมูลและเลือก Option ต่อไปนี้

• กรอกชื่อของ OU ในช่อง Name: Locations (ตัวอย่างตั้งเป็น Locations)
• ค่าเริ่มต้นจะเลือก "Protect container from accedental deleted"

หลังจากนั้นให้คลิก OK เพื่อสร้าง OU และปิดหน้าต่างนี้ไป.

3. แสดง OU ที่ถูกสร้างจะอยู่ภายใต้ root domain name.

การสร้าง Sub Organizational Unit.

1. เลือก OU ที่ต้องการสร้าง Sub OU คลิกขวาที่ OU แล้วเลือก New > Organizational Unit.

2. กรอกข้อมูลของ OU.

• กรอก Name: Bangkok
• เลือก "Protect container from accidental deletion"

หลังจากนั้นเลือก OK เพื่อสร้าง OU และออกจากหน้าต่าง.

3. จะได้ผลลัพธ์ตามภาพ.

การเปลี่ยนชื่อ (Rename) Organizational Unit (OU).

1. เลือก OU ที่ต้องการเปลี่ยนชื่อ แล้วคลิกขวา > เลือก Rename.

2. เมื่อกด Rename เราสามารถแก้ไขชื่อได้ เมื่อแก้ไขเสร็จแล้วให้กดปุ่ม Enter หรือคลิกที่พื้นที่ว่าง ก็ได้ ผลลัพธ์ดังรูปหมายเลข 3.

การย้าย (Move) หรือ ลบ (Deletd) Organizational Unit.

ในกรณีที่เราสร้าง OU และได้เลือก "Protect container from accidental deletion" เราจะไม่สามารถ ย้าย หรือ ลบ OU ได้.

ตัวอย่าง .ในกรณีเราเลือก "Protect container from accidental deletion" จะส่งผลให้เราไม่สามารถ ย้าย หรือ ลบ OU ได้ feature ช่วยป้องกันไม่ให้ admin เผลอไปลบ หรือ ไปย้าย OU โดยไม่ได้ตั้งใจ โดย feauture นี้รองรับ AD object เช่น Users, Computer หรือ Group และ AD object อื่นๆ.

ภาพตัวอย่าง กรณี ย้าย (move) OU.

ภาพตัวอย่าง กรณี ลบ (delete) OU

ปิดการใช้งาน Protect container from accidental deletion.

ในการปิดการใช้งาน function นี้ใช้ในกรณีต้องการ ลบ หรือย้าย OU เท่านั้น โดย Best practices ทาง Microsoft แนะนำให้เปิดการใช้งาน Function นี้.

1. บน Active Directory Users and Computers > เลือก View > เลือก Advanced Features.

2. เลือก OU ที่ต้องการปิดการใช้งาน features และเลือก Properties.

3.เลือกแท็บ Object และก็ให้ Uncheck ออกจาก Protect container from accidental deletion และกด OK.

การย้าย (Move) Organizational Unit.

1. ให้เลือก OU ที่ต้องการย้าย (Move...) คลิกขวาที่ OU > Move..> เลือก OU ปลายทาง แล้วคลิก OK.

2. แสดงผลลัพธ์หลังจากการย้าย OU.

การลบ (Delete) Organizational Unit.

1. เลือก OU ที่ต้องการลบ คลิกขวา> Delete > กด Yes เพื่อยืนยันการลบ Object.

2. หลังจากนั้น OU จะหายออกไป.

ตัวอย่างการออกแบบ Organizational Unit.

สำหรับตัวอย่างต่อไปนี้ เป็นตัวอย่างในการออกแบบและเป็นความคิดเห็นส่วนตัวของผู้เขียนเท่านั้น ไม่ได้หมายความว่ามันดี หรือ ถูก ต้องที่สุด. แต่ในตัวอย่างจะพยายามยกตัวอย่างการออกแบบ OU ให้เราสามารถจัดการ OU ได้ตามจุดประสงค์

ภาพตัวอย่างของการออกแบบ OU.

อธิบายแต่ละลำดับชั้นของ OU.

จากภาพด้านบน.

สร้าง OU "Locations" เพื่อเก็บ AD Object ของแต่ละ location.

- Bangkok เก็บ AD Object ของบริษัทที่อยู่ใน Bangkok.

- Krabi เก็บ AD Object ของบริษัทที่อยู่ใน Krabi.

จากรูปเราสามารถกำหนดสิทธิ์ให้ Admin (Delegation Administrator) หรือ helpdesk ของแต่ละ location สามารถจัดการ object ในส่วนที่ตัวเองรับผิดชอบได้ เช่น IT-Bangkok สามารถจัดการ AD object ภายใน OU ฺBangkok เท่านั้น.

ในส่วนนี้แบ่งเพื่อรองรับการ Deploy Group Policy Object (GPO). เพราะ GPO จะมาการตั้งค่าและใช้งานกับ User (User Configuration) และ Computer (Computer Configuration) ถ้าหากเราเอา ค่า setting ของ User ไป deploy ให้กับ Computer มันจะไม่สามารทำงานได้ เลยต้องแบ่งชนิดของ Object เพื่อให้เราสามารถ dploy GPO ได้ง่าย.

จากภาพด้านบน.

ในแต่ละชนิดของ Object จะถูกแบ่งออกเป็นแผนกอีกทีนึง เพื่อให้ง่ายในการ deploy GPO เช่น กรณีต้องการตั้งค่า wallpaper ของแต่ละแผนกไม่เหมื่อนกันเราสามารถสร้าง GPO ในส่วนของ User Configuration ของแต่ละแผนก แล้วก็ deploy gpo ตามชนิดของ Object โดย deploy gpo ของแผนกใครแผนกมัน.

Read More