#Implement
Directory Service เป็นระบบใช้ในการจัดการทรัพยากรภายในระบบเน็ตเครื่อข่ายของในองค์กร ร่วมถึงการให้บริการ Identity (ตัวต้น),Authentication (ยืนยันตัวตน), Authorization (การเข้าถึงระบบ) เป็นต้น โดย Microsoft มี Directory Service เหมื่อนกันนั้นก็คือ Active Directory Domain Services (AD DS) หรือสามารถเรียกอีกชื่อหนึ่งคือ Domain Controller (DC) มันเป็น Service เดียวกัน.
ในบทความนี้จะเป็นการนำเสนอการติดตั้ง AD DS แบบ Step by step ซึ่งเหมาะกับ IT มื้อใหม่ สามารถติดตั้งและตั้งค่า AD DS ร่วมไปถึงการจัดการ AD DS ในหัวข้อต่อๆ ไปด้วย.
หมายเหตุ: การติดตั้ง AD DS ตั้งแต่ Windows Server 2012/2016/2019/2022 หน้าตา GUI จะเหมือนกันเราสามารถใช้วิธีการติดตั้งนี้ได้เหมือนกัน จริงๆ แล้ว Windows Server 2008 ก็สามารถทำได้เมนูคล้ายๆ กันต่างแค่ GUI เท่านั้น.
ขั้นตอนที่ 1: ตั้งค่าพื้นฐานให้กับ Computer.
หลังจากติดตั้ง Operating System (OS) เสร็จแล้วเราจำเป็นต้องตั้งค่าพื้นฐานให้กับ Computer ตัวอย่างดังนี้.
2. กำหนด IP Address ให้กับ Computer โดยการ fix ip (ปกติแล้วถ้าพวก server เข้าจะ fix ip กัน).
ตัวอย่างการกำหนด IP Address ดังนี้
- IP Address: 172.16.10.11.
- Subnet mask: 255.255.255.0.
- Default Gateway: 172.16.10.254.
- Preferred DNS server: 127.0.0.1 (ค่านี้จำเป็นต้องมี แนะนำให้ใส่ IP loopback).
3. กำหนด Time zone ตามภูมิภาคของที่อยู่ของ Computer ในตัวอย่าง Computer อยู่ในประเทศไทยจะเลือกใช้เป็น (UTC +07:00) Bangkok, Hanoi,Jakrata เป็นต้น.
4. ควรที่จะอัพเดทแพทช์ของ Windows Server ให้เป็นแพทช์ล่าสุด. อัพเดทก่อนค่อยทำ แต่ถ้าทำก่อนแล้วอัพเดทถ้าเกิดมีปัญหาเราจะแก้ไขยาก.
ขั้นตอนที่ 2: ติดตั้งและตั้งค่า AD DS.
การติดตั้ง AD DS จะแบ่งออกเป็น 2 ส่วน.
- ส่วนที่ 1 เป็นการติดตั้ง AD DS Role.
- ส่วนที่ 2 เป็นการตั้งค่าและติดตั้ง AD DS.
ก่อนที่จะติดตั้งให้ Sing-in เข้า Windows Server 2022 ด้วย Account ที่มีสิทธิ์เป็น Local Administrator.
ส่วนที่ 1: ติดตั้ง AD DS role.
1. เปิดหน้า Server Manager > Dashboard > เลือก Add roles and features.
2. หน้าต่าง Before you begin คลิก Next.
3. หน้าต่าง Select installation type คลิก Next.
4. หน้าต่าง Select destination server มันใจว่าได้เลือก Server ที่จะติดตั้ง AD DS ถูกต้อง! แล้วให้คลิก Next.
5. หน้าต่าง Select server roles เลือก Active Directory Domain Services role.
6. คลิก Add Features.
7. เมื่อมีเครื่องหมายถูกหน้า Active Directory Domain Services แล้ว ให้คลิก Next.
8. หน้าต่าง Select features คลิก Next.
3. หน้าต่าง Select installation type คลิก Next.
4. หน้าต่าง Select destination server มันใจว่าได้เลือก Server ที่จะติดตั้ง AD DS ถูกต้อง! แล้วให้คลิก Next.
5. หน้าต่าง Select server roles เลือก Active Directory Domain Services role.
6. คลิก Add Features.
7. เมื่อมีเครื่องหมายถูกหน้า Active Directory Domain Services แล้ว ให้คลิก Next.
8. หน้าต่าง Select features คลิก Next.
9. หน้าต่าง Active Directory Domain Services คลิก Next.
10. หน้าต่าง Confirm installation selections คลิก Install เพื่อเริ่มติดตั้ง Active Directory Domain Services role.
11. หน้าต่าง Installation progress เมื่อติดตั้งเสร็จแล้วจะแสดงข้อความ "Promote this server to a domain controller" เราสามารถคลิกลิงค์เพื่อดำเนินการตั้งค่าและติดตั้ง AD DS ต่อไป.
2. หน้าต่าง Deployment Configuration หัวข้อนี้ให้เลือกตั้งค่าดังนี้
3. หน้าต่าง Domain Controller Options ในส่วนของ Forest และ Domain functional level.
Computer ที่ใช้สำหรับติดตั้ง AD DS เป็น "Windows Server 2022" แต่ functional level ล่าสุดจะอยู่ที่ Windows Server 2016 เท่านั้น.
4. กำหนดการตั้งค่าในหน้า Domain Controller Options ดังนี้.
5. หน้าต่าง DNS Options คลิก Next เพื่อไปขั้นตอนต่อไป.
6. หน้าต่าง Additional Options ให้ตั้งค่า NetBIOS domain name โดยค่า default จะถูกคำนวนจาก domain โดยจะเอาค่าจาก domain โดยเลือกจากซ้ายสุดเช่น.
หลังจากนั้นให้กด Next เพื่อไปขั้นตอนถัดไป.
7. หน้าต่าง Paths กำหนด paths สำหรับเก็บ AD DS database, log files และ SYSVOL โดยค่าเริ่มต้นจะเป็นดังภาพด้านล่างนี้. ให้กด Next เพื่อไปขั้นตอนถัดไป.
8. หน้าต่าง Review Options เราสามารถดู summary ได้ และกด Next เพื่อไปขั้นตอนถัดไป.
9. หน้า Prerequisites Check จะทำการตรวจสอบความพร้อมก่อนการติดตั้ง ให้คลิก Install เพื่อดำเนินการติดตั้ง Active Direcoty Domain Services.
10. หน้าต่าง Installation ใช้เวลาประมาณ 5-10 นาทีโดยประมาณ (ขึ้นอยู่กับ performance ของเครื่องด้วย).
11. หน้าต่าง Results เมื่อติดตั้งเสร็จระบบจะแจ้งจะเริ่ม Restart computer.
12. ใช้เวลาประมาณ 5-10 นาทีโดยประมาณ.
13. หลังจาก Computer restart เสร็จจะแสดงหน้าเข้าสู่ระบบจะเป็น NetBIOS\Username เช่น 115ITCKP\Administrator เป็นต้น.
10. หน้าต่าง Confirm installation selections คลิก Install เพื่อเริ่มติดตั้ง Active Directory Domain Services role.
11. หน้าต่าง Installation progress เมื่อติดตั้งเสร็จแล้วจะแสดงข้อความ "Promote this server to a domain controller" เราสามารถคลิกลิงค์เพื่อดำเนินการตั้งค่าและติดตั้ง AD DS ต่อไป.
ส่วนที่ 2: ตั้งค่าและติดตั้ง AD DS.
ในส่วนนี้จะเป็นการตั้งค่า AD DS และทำการติดตั้ง AD DS.
1. หลังจากติดตั้ง Active Directory Domain Services role เสร็จแล้ว เราสามารถ promote domain controller ได้เลยโดยสารมารถคลิกจาก "Promote this server to a domain controller" หรือ สังเกติที่ รูปธง (Flag alert) ทางด้านขวาเราสามารถคลิกที่ Flag alert ก็ได้
2. หน้าต่าง Deployment Configuration หัวข้อนี้ให้เลือกตั้งค่าดังนี้
- เลือก Add a new forest สำหรับการติดตั้ง first domain controller.
- กำหนด Root domain name เป็น "115itckp.local"
3. หน้าต่าง Domain Controller Options ในส่วนของ Forest และ Domain functional level.
Computer ที่ใช้สำหรับติดตั้ง AD DS เป็น "Windows Server 2022" แต่ functional level ล่าสุดจะอยู่ที่ Windows Server 2016 เท่านั้น.
4. กำหนดการตั้งค่าในหน้า Domain Controller Options ดังนี้.
- กำหนดค่า Forest functional level: Windows Server 2016
- กำหนดค่า Domain functional level: Windows Server 2016
- กำหนดค่า Specify domain controller capabilities: DNS server และ Global Catalog(GC).
- กำหนด Directory Restore Mode (DSRM): ห้ามปล่อยว่าง.
5. หน้าต่าง DNS Options คลิก Next เพื่อไปขั้นตอนต่อไป.
6. หน้าต่าง Additional Options ให้ตั้งค่า NetBIOS domain name โดยค่า default จะถูกคำนวนจาก domain โดยจะเอาค่าจาก domain โดยเลือกจากซ้ายสุดเช่น.
- ถ้า root domain เป็น 115itckp
.localจะได้ left-shift เป็น 115ITCKP - ถ้า root domain เป็น corp.
115itckp.localจะได้ left-shift เป็น CORP
หลังจากนั้นให้กด Next เพื่อไปขั้นตอนถัดไป.
7. หน้าต่าง Paths กำหนด paths สำหรับเก็บ AD DS database, log files และ SYSVOL โดยค่าเริ่มต้นจะเป็นดังภาพด้านล่างนี้. ให้กด Next เพื่อไปขั้นตอนถัดไป.
8. หน้าต่าง Review Options เราสามารถดู summary ได้ และกด Next เพื่อไปขั้นตอนถัดไป.
9. หน้า Prerequisites Check จะทำการตรวจสอบความพร้อมก่อนการติดตั้ง ให้คลิก Install เพื่อดำเนินการติดตั้ง Active Direcoty Domain Services.
10. หน้าต่าง Installation ใช้เวลาประมาณ 5-10 นาทีโดยประมาณ (ขึ้นอยู่กับ performance ของเครื่องด้วย).
11. หน้าต่าง Results เมื่อติดตั้งเสร็จระบบจะแจ้งจะเริ่ม Restart computer.
12. ใช้เวลาประมาณ 5-10 นาทีโดยประมาณ.
13. หลังจาก Computer restart เสร็จจะแสดงหน้าเข้าสู่ระบบจะเป็น NetBIOS\Username เช่น 115ITCKP\Administrator เป็นต้น.
ขั้นตอนที่ 4: ตั้งค่าหลังการติดตั้ง AD DS (Post installation).
หลังจากติดตั้งเสร็จแล้วให้มาปรับค่าของ DNS order ให้ถูกต้องตาม Microsoft แนะนำ.โดยไปที่ Network Connections > ดับเบิลคลิกที่ Ethernet > Properties > ดับเบิลคลิกที่ Internet Protocal Version 4 (TCP/IPv4) > สังเกตุที่ Use the following dns server address.
ในกรณีมี AD DS server เครื่องเดียวให้กำหนดลำดับ DNS ดังนี้.
ในกรณีมี AD DS server เครื่องเดียวให้กำหนดลำดับ DNS ดังนี้.
- Preferred DNS Server: 172.16.10.11 (ใส่ IP address ของตัว AD DS เอง ในกรณีมี AD DS ตัวเดียวแล้วทำหน้าที่เป็น DNS server).
- Alternate DNS Server: 127.0.0.1 (ลำดับสุดท้ายให้ใส่ IP loopback).
เอกสารจาก Microsoft ใน scenario ที่ AD DS ตัวเดียวและก็ทำหน้าที่เป็น DNS ด้วย.
โดยให้ใส่ IP Address ของ primary DNS server ในที่นี้ก็คือ 172.16.10.11 และให้ใส่ 127.0.0.1 (IP Loopback) ไว้สุดท้ายเสมอ.
อ้างอิงจาก: https://learn.microsoft.com/en-us/archive/technet-wiki/18513.active-directory-replication-issues-basic-troubleshooting-steps-single-ad-domain-in-a-single-ad-forest
ขั้นตอนที่ 5: ตรวจสอบค่าต่าง ๆ ของ AD DS หลังการติดตั้ง.
เป็นการตรวจสอบว่าค่าอะไรที่มีการเปลี่ยนแปลงจากเดิม หรือ ตรวจสอบความถูกต้องของค่า setting ร่วมถึงระบบทำงานได้อย่างถูกต้องเพื่อมั่นใจว่าระบบที่เราสร้างขึ้นมาสามารถใช้งานได้จริง.
ส่วนที่ 1: ตรวจสอบในส่วนของ Computer ที่มีการเปลี่ยนแปลง.
เป็นการตรวจสอบสิ่งที่เกิดขึ้นกับค่า setting ต่างของ Computer ว่ามีอะไรที่เปลี่ยนแปลงไปจากเดิมบ้าง.
ตรวจสอบส่วนของ Server Properties หัวข้อ Domain จะเปลี่ยนจาก WORKGROUP เป็น 115itckp.local ซึ่งเป็นชื่อ Domain ของเรานั้นเอง.
ตรวจสอบส่วนของ Computer Management สำหรับเครื่องที่ทำหน้าที่เป็น Domain Controller การจัดการ Local Users and Groups (SAM database) จะไม่มีอยู่แล้วจะถูก convert ไปเป็น Active Directory Users and Computer (NTDS database) แทน.
ส่วนที่ 2: ตรวจสอบความถูกต้อง Active Directory Domain Services.
เป็นการตรวจสอบค่าที่เราได้ติดตั้งไปทั้งหมดว่ามันถูกต้องตามที่เราได้กำหนด และ ตรงกับความต้องการขององค์กรหรือเปล่า.
ตรวจสอบเครื่อง Computer ที่ทำหน้าที่เป็น Domain Controller.
โดยไปที่ Server Manager > Tools > Active Directory Users and Computer (ADUC) แตกโหนดของ domain แล้วไปที่ OU ชื่อ Domain Controllers จะเห็นชื่อ Computer ที่ทำหน้าที่เป็น Domain Controller.
ตรวจสอบค่าที่เราได้กำหนดให้กับ Active Directory Domain Services.
- Domain name: 115itckp.local.
- Domain name (pre-Windows 2000): 115ITCKP (NetBIOS).
- Domain functional level: Windows Server 2016.
- Forest functional level: Windows Server 2016.
ตรวจสอบ Paths ที่ใช้เก็บข้อมูลของ AD DS.
เราสามารถเข้าดูผ่าน Explorer ได้โดยไปที่ path ข้างล่างนี้ (ถ้าเราไม่ใช้ค่าเริ่มต้นก็ให้ไปตาม path ที่ได้กำหนดไว้).
- ข้อมูล AD DS database และ logs จะถูกเก็บที่ C:\Windows\NTDS.
- ข้อมูล SYSVOL จะถูกเก็บไว้ที่ C:\Windows\SYSVOL.
ตรวจสอบโฟลเดอร์แชร์.
- NETLOGON
- SYSVOL
สำหรับ Computer ที่ทำหน้าที่เป็น AD DS จะต้องแชร์โฟลเดอร์ทั้ง 2 นี้.
ตรวจสอบ Master roles (FSMO).
เปิด command line แล้วพิมพ์ netdom query fsmo และกด enter จะได้ข้อมูลดังรูป ซึ่งในกรณีนี้เครื่อง ITC-AD01 จะทำหน้าที่ถือ Master roles ทั้งหมด.
ตรวจสอบ Schema version ของ AD DS.
โดยไปที่ Server Manager > Tools > ADSI Edit > คลิกขวาที่ ADSI Edit > Connect to..> ที่ "Select a well know Naming Context" ให้เลือกเป็น Schema คลิก OK.
คลิกขวาที่ Schema [<Computername>] > เลือก CN=Schema,CN=Configuration,DC=115itckp,DC=Local แล้วคลิกขวาเลือก Properties > ใน Tab "Attribue Editor" หา Attributes: "ObjectVersion" = XX (ตัวอย่างจะอยู่ที่ 88).
ถ้าหากนำข้อมูลมาเปรียบเที่ยบกับตาราง ObjectVersion ของ Microsoft document จะได้เป็น "Windows Server 2019 และ 2022" ในจากบทความเป็น Windows Server 2022.
ตรวจสอบ Group Policy Management
ค่าเริ่มต้นจะมี GPO อยู่ 2 policy ดังนี้.- GPO "Default Domain Controller Policy จะถูกใช้งานกับ (apply) กับเครือง Domain Controller (DC) เท่านั้น
- GPO "Default Domain Policy" จะถูกใช้งานกับ (apply) กับทุก Users หรือ Computers ทั้งหมดในองค์กร.
ตรวจสอบ Tools สำหรับจัดการ AD DS.
ทดสอบด้วยการเปิด AD DS tools เพื่อดูว่าสามารถใช้งานได้โดยไม่มีข้อผิดพลาด (error) เกินขึ้น จากภาพด้านล่าง แสดง AD DS tools ที่ใช้สำหรับจัดการ AD DS ไม่ว่าจะเป็น AD Object หรือ โคร้งสร้างของ AD DS.
Active Directory Adminstrative Center (ADAC) Tool ใช้สำหรับจัดการ AD Object และการเปิดใช้งาน Advanced features ต่างๆ เช่น AD Recycle Bin หรือ fine grained password policy เป็นต้น.
Active Directory Domains and Trust (ADDT) Tool ใช้ในการทำ Trust ระหว่าง Domain หรือ forest และร่วมถึงการเพิ่ม UPN Suffix ได้ด้วย.
Active Directory Sites and Services (ADSS) Tool ใช้ในการกำหนด Sites และ Service ของ AD DS เราสามารถแบ่ง Sites location ของ AD DS และกำหนดเส้นทางของการ replication.
Active Directory Module for Windows PowerShell Tool ใช้สำหรับจัดการ AD DS เช่น การสร้าง Users ที่ละมากๆ ทำ script สำหรับ automate task หรือใช้ในการ setting แทน GUI ได้เลย.
Active Directory Users and Computers (ADUC) Tool เป็นเครื่องมื้อที่ใช้กันอย่างแพร่หลายสำหรับการจัดการ AD Object เช่น สร้าง Users, Groups, Computer และทรัพยากรต่างในระบบอื่น.
ตรวจสอบในส่วนของ DNS Server ที่ร้องรับการทำงานของ AD DS.
หากว่าเราได้เลือกติดตั้ง DNS server บน AD DS จะมี DNS zone ใน Forward Lookup Zone สำหรับ AD DS อยู่ 2 zone ดังตัวอย่าง.
- _msdcs.115itckp.local
- 115itckp.local
หมายเหตุ: Microsoft แนะนำให้ติดตั้ง DNS Server role บนเครื่องที่ทำหน้าที่เป็น AD DS ทุกเครื่อง.
ข้อมูลอ้างอิง.
การติดตั้ง AD DS (Prepare).
https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/deploy/install-active-directory-domain-services--level-100-
การติดตั้ง AD DS.
https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/deploy/install-a-new-windows-server-2012-active-directory-forest--level-200-
การตั้งค่า DNS Server.
https://learn.microsoft.com/en-us/archive/technet-wiki/18513.active-directory-replication-issues-basic-troubleshooting-steps-single-ad-domain-in-a-single-ad-forest
ตารางเปรียบเทียบ Schema version.
https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/deploy/find-active-directory-schema?tabs=gui
0 comments:
แสดงความคิดเห็น