#Implement
ในบทความนี้จะเกี่ยวกับการติดตั้ง Active Directory Domain Services (AD DS) ในรูปแบบ Additional Domain Controller ซึ่งภายใน Domain ควรที่จะมีเครื่องที่ทำหน้าที่เป็น Domain Controller อย่างน้อย 2 เครื่อง เพื่อช่วยแบ่งเบา workload ของ Domain Controller ตัวหลัก. และยังให้ระบบสามารถทำงานได้ตลอดเวลาแม้ในกรณีอีกเครื่องไม่สามารถทำงานได้ (service unavailabled) และ ยังใช้ในกรณีต่างๆ เช่น เปลี่ยน hardware หรือ migrate, upgrade version เป็นต้น.
Microsoft มีเครื่องมือทที่เรียกว่า BEST PRACTICES ANALYZER ที่ใช้สำหรับวิเคราะห์เครื่องที่ทำหน้าที่เป็น Domain Controller ซึ่งเครื่องมือดังกล่าวจะช่วยวิเคราะห์ระบบว่ามีสิ่งใหนที่ควรที่จะ Configuration หรือปรับค่า Settings ต่างๆ ของ Domain Controller.
ตัวอย่างการใช้งาน BEST PRACTICES ANALYXER ดังนี้.
เปิด Server Manager ขึ้นมา แล้วไปที่ Tab AD DS > TASKS > Start BPA scan
ร่อสักครู่ จะได้ผลลัพธ์จากการ analyzer ซึ่งเราจะเน้นไปที่หัวข้อ warning "All domains should have at least two domain controllers for redundancy" นั้นหมายความว่าเราควรจะมี Domain Controllor อย่างน้อย 2 เครื่องภายในองค์กรเพื่อช่วยกันทำหน้าที่เมื่อเครื่องไดเครื่องหนึ่งเกิดปัญหาไม่สามารถทำงานได้.
ก่อนที่จะเริ่มการติดตั้งเราจะต้องมีข้อมูลเบื้องต้นของ AD DS ตัวหลัก (Primay) ก่อน เช่น.
Q: ต้องรู้ว่า AD DS ใช้ "Windows Server version อะไร ?
Ans: AD DS รันอยู่บน Windows Server 2022 (ตัวอย่าง)
Q: ต้องรู้ว่ามี AD DS มีกี่ตัวแต่ละตัวมี IP Addresses อะไรบ้าง ?
Ans: AD DS มีทั้งหมด 1 ตัว ใช้ IP Address 172.16.10.11/24 (ตัวอย่าง)
Q: ต้องรู้ว่า root domain name ชื่ออะไร ?
Q: ต้องรู้ว่า root domain name ชื่ออะไร ?
Ans: 115itckp.local
Q: ต้องใช้ account ใหนในการติดตั้ง ?
Q: ต้องใช้ account ใหนในการติดตั้ง ?
Ans: ใช้ account ที่อยู่ใน AD DS โดยถูกมอบหมายสิทธิ์ (delegate permissiom) ให้อยู่ใน Domain Admins group.
ขั้นตอนที่ 1: ตั้งค่าพื้นฐานให้กับ Computer.
1. ตั้งชื่อ Computer name ในตัวอย่างใช้เป็น ITC-AD02 โดยไปที่ Server Manager > Local Server > เลือก Computer name > เลือก Computer Name > กด Change... > ใส่ชื่อ Computer name: ITC-AD02 > เลือก OK หลังจากนั้นระบบจะให้ Restart.
2. ตั้งค่า Network ให้กำหนด IP address เป็น static และให้กำหนด DNS ชี้ไปยัง DNS server นั้นหมายถึงให้ชี้ไปยัง IP address ของ AD DS ของเครื่องก่อนหน้านี้.
3. ตั้งค่า Time zone โดยจะกำหนดตามภูมิภาคที่ตั้งของระบบ เช่น Computer ตั้งอยู่ในประเทศไทยก็ให้กำหนดเป็น (UTC +07:00) Bangkok, Hanoi, Jakrata ตามตัวอย่างด้านล่างนี้.
4. ให้ทำการอัพเดท Patch Windows ให้เป็น ล่าสุด.
ขั้นตอนที่ 2: สร้าง account สำหรับติดตั้ง.
อ้างอิงจาก Microsoft.
10. หน้าต่าง Results จะแสดงหน้าต่างเมื่อติดตั้งเสร็จแล้วจะทำการ restart โดยอันโนมัติ.
ตรวจสอบ Active Directory Sites and Services.
2.1. สร้าง User สำหรับติดตั้ง.
สร้าง User account สำหรับติดตั้ง additional domain controller.
โดยไปที่ Server Manager > Tools > Active Directory Users and Computers > แตก tree ที่โหนด domain > Users > คลิกเลือก New User icon > กรอกข้อมูลและกำหนด User logon name หลังจากนั้นคลิก Next.
ให้ตั้ง Password และ Confirm password และ Next และ Finish เพื่อออกจากหน้าต่างสร้าง User account.
2.2. เพิ่มสิทธิ์ให้กับ Account .ให้เป็น member ของ Domain Admins Group.
เลือก user ที่ถูกสร้างขึ้นมาคลิกขวา แล้วเลือก Properties > Member of > เลือก Add > ในหน้า Enter the object names to select (examples): ให้กรอกชื้อ Domain Admins (ใส่แค่บ้างส่วนก็ได้เช่น Domain ad) แล้วกด Check name ระบบจะ auto completed ชื่อให้หรืออาจจะมีให้เลือกถ้าหากมี account คล้ายกัน หลังจากนั้นคลิก OK.
หลังจาก add แล้วจะมี Domain Admins อยู่ใน Member of.
ขั้นตอนที่ 3: นำ Computer เข้าเป็นสมากชิกของ Domain (join domain).
ในส่วนของการทำ additional domain controller ในเชิงเทคนิค เราจะ join domain ก่อนติดตั้ง หรือ ไม่ join domain ก็ได้ สำหรับบทความนี้แนะนำให้ join domain.
1. โดยเปิด Server Manager > Local Server > Computer name > Change...> On Member of เลือก Domain: ใส่ชื่อ domain (115itckp.local) หรือ NetBIOS (115itckp)ไปแทนก็ได้. หลังจากนั้นใหนกรอก username และ password ของ domain admins แล้วกด OK.
2. เมื่อ joind domain สำเร็จระบบจะแสดงหน้า "Welcome to the 115itckp domain" ให้กด OK แล้วระบบจะทำการ Restart computer.
3. เมื่อ Computer restart เสร็จ ในหน้าต่าง login จะแสดง Sign in to: 115ITCKP เราสามารถ Sing in เข้าสู่ Computer ด้วย account ที่เราได้สร้างไว้ได้เลย.
ขั้นตอนที่ 4: ตั้งค่าและติดตั้ง AD DS.
ส่วนที่ 1: ติดตั้ง AD DS server role.
1. เปิด Server Manager > Dashboard > เลือก 2 Add roles and features.
2. หน้าต่าง Before you begin คลิก Next.
3. หน้าต่าง Select installation type คลิก Next.
4. หน้าต่าง Select destination server ตรวจสอบ Name ของ computer และ IP Address ถ้าถูกต้องให้คลิก Next.
5. หน้าต่าง Select server roles ให้เลือก Active Directory Domain Services.
6. ให้เลือก add AD DS role จะต้อง add features ที่ AD DS ต้องการ ให้คลิก Add features.
7. หลังจากนั้นจะมี Checkbox ที่ Active Directory Domain Services ให้คลิก Next.
8. หน้าต่าง Select features ให้คลิก Next.
9. หน้าต่าง Active Directory Domain Services ให้คลิก Next.
10. หน้าต่าง Confirm installation selections คลิก Install เพื่อเริ่มการติดตั้ง.
11. หน้าต่าง Installation progress เมื่อติดตั้งเสร็จจะแสดง "Promote this server to a domain controller" เราสามารถคลิกเพื่อเริ่มติดตั้งและตั้งค่า Domain Controller ได้เลย.
ส่วนที่ 2: ตั้งค่าและติดตั้ง AD DS.
1. หลังจากติดตั้ง AD DS role เสร็จเรียบร้อยแล้วให้คลิก "Promote this server to a domain controller" เพื่อเริ่มการตั้งค่า additional domain controller.
2. ในหน้าต่าง Deployment Configuration.
- ให้เลือกหัวข้อ Add a domain controller to an exising domain.
- ให้กรอก Domain: 115itckp.local (ในกรณีที่ computer join domain ระบบจะใส่ domain name ให้อัตโนมัติ).
- ให้กรอก username password ให้ถูกต้อง (ในกรณีเครื่อง join domain มันจะใช้ credential ของ user ใช้ sign-in).
หลังจากนั้นคลิก Next.
3. ในหน้า Domain Controller Option. ในการติดตั้ง Additional domain จะไม่มีให้กำหนด Domain and Forest functional level แต่จะมีแค่ option ต่อไปนี้.
- Specify domain controller capabilities and site information ให้เลือก Domain Name System (DNS) server และ Global Catalog (GC).
- Site name: ปล่อยเป็นค่าเริ่มต้น (Default-First-Site-Name) เพราะเรายังไม่มีการสร้าง sites and services .
- ตั้งค่า Password สำหรับ DSRM ห้ามปล่อยค่าว่าง.
หลังจากนั้นให้คลิก Next.
4. หน้าต่าง DNS Options ในหน้าต่าง DNS Options ให้เลือก Next.
5. หน้าต่าง Additional Options.
- Replication from: Any domain controller (จริงๆ เราสามารถเลือก replication จาก server ได้ในกรณีมี AD DS หลายตัว)
หลังจากนั้นให้คลิก Next.
6. หน้าต่าง Paths ให้เลือก Next.
7. หน้าต่าง Review Options ให้เลือก Next.
8. หน้าต่าง Prerequisites Check ให้เลือก Install เพื่อเริ่มการติดตั้ง.
9. หน้าต่าง Installation จะเริ่มดำเนินการติดตั้ง. อาจจะใช้เวลาสักครู่ประมาณ 5-10 นาที.
ขั้นตอนที่ 5: ตั้งค่าหลังติดตั้ง (Post installation).
หลังจากติดตั้งเสร็จแล้วส่วนใหม่จะมีแค่การปรับแต่ง DNS server in order ใน network adapter เท่านั้น. Microsoft มี best practies สำหรับการตั้งค่า DNS server in order ที่แนะนำเพื่อลดปัญหาในการ replication กัน.
สำหรับข้อมูลจาก Microsoft มีแนะนำให้ตั้งค่าสำหรับ AD DS ที่มี 2 เครื่องภายในระบบ.
- ลำดับแรกให้ใส่ IP address ของ DC เครื่องอื่น (172.16.10.11).
- ลำดับถัดไปให้ใส่ private IP Address ของเครื่องที่ 2 (172.16.10.12) ตัวมันเองเพราะในระบบมีแค่ 2 เครื่อง).
- ลำดับถัดไปให้ใส่ 127.0.0.1 คือ loopback หาตัวเอง.
- กำหนดแบบนี้ทั้ง DC ตัวที่ 1 (primay) และต้วที่ 2 (secondary = additional domain controller).
กำหนด DNS server in order บน ICT-AD02.
ให้ตั้งค่า DNS order ของ ITC-AD02 โดยกำหนดดังนี้.
Preferred DNS server: 172.16.10.11 (ใส่ IP Address ของ DNS server เครื่องอื่น)
Alternate DNS server: 127.0.0.1 (ใส่ IP loopback สำหรับลำดับสุดท้าย)
หมายเหตุ: สำหรับ IP address ของตัวมันเองสามารถ skip ได้ถ้าหากว่าเราใส่ loopback ip address ไว้แล้ว.
สั่งเกตุว่าถ้าหลังจากติดตั้ง additional domain controller เสร็จแล้ว ระบบจะเติม iploopback มาให้เลยถ้าเป็นดังรูปก็สามารถข้ามไปได้เลย.
กำหนด DNS server in order บน ICT-AD01.
ให้ตั้งค่า DNS order ของ ITC-AD01 โดยกำหนดดังนี้.
Preferred DNS server: 172.16.10.12 (ใส่ IP Address ของ DNS server เครื่องอื่น)
Alternate DNS server: 127.0.0.1 (ใส่ IP loopback สำหรับลำดับสุดท้าย)
หมายเหตุ: สำหรับ IP address ของตัวมันเองสามารถ skip ได้ถ้าหากว่าเราใส่ loopback ip address ไว้แล้ว.
ขั้นตอนที่ 6: ตรวจสอบค่า setting ต่างๆ ของ additional domain controller.
สำหรับการตรวจสอบ additional domain controller จะมีการตรวจสอบคล้ายๆ กันแต่บ้างอย่างอาจจะข้ามไปก็ได้ แต่จะมีในส่วนของ AD replication ที่ต้องมีการตรวจสอบเพิ่มเติม.
ตรวจสอบว่า Computer ที่ทำหน้าที่เป็น Domain Controller.
ตรวจสอบ Paths ที่ใช้เก็บ AD DS database, logs และ SYSVOL.
- ข้อมูลของ AD DS database และ logs จะอยู่ใน C:\Windows\NTDS
- ข้อมูลของ SYSVOL ประกอบไปด้วย GPO และ scripts จะอยู่ใน C:\Windows\SYSVOL
ตรวจสอบโฟลเดิอร์แชร์
- netlogon
- sysvol
สำหรับเครื่อง computer ที่ทำหน้าที่เป็น Domain Controller จะต้องมี 2 โฟลเดอร์นี้แชร์อยู่เสมอ.
หลังจากติดตั้ง additional domain controller จะมี Server "ITC-AD02" เพิ่มเข้ามาและจะอยู่ภายใต้ Default-First-Site-Name ตามภาพ
แสดงภาพตัวอย่างหลังจากติดตั้ง additional domain controller มีรายละเอียดดังนี้
- ภาพที่ before แสดง Computer ชื่อ ITC-AD01 และไม่มีการ replcation เพราะมี DC แค่เครื่องเดียว.
- ภาพที่ after 2 สังเกตุว่า ITC-AD01 จะมีเส้น replication ที่ถูกสร้างขึ้น <automatically generated> และมันทำการ replication Form Server: ITC-AD02.
- ภาพที่ after 3 สังเกตุว่า ITC-AD02 จะมีเส้น replication ที่ถูกสร้างขึ้น <automatically generated> และมันทำการ replication Form Server: ITC-AD01.
ADDS replication แบบ Pull replication หมายถึง ตัว DC จะเป็นคนไปดึง (Pull) ข้อมูลจาก DC ต้นทางมา แต่มันจะไม่ replication จากตัวมันเองไปหาปลายทาง.
ตรวจสอบการ replication ก่อนและหลัง ที่จะมี additional domain controller.
ปกติแล้วถ้าหากเรามี Domain Controller มากกว่า 1 ตัวขึ้นไป จะมีเรื่องของการ replication เกินขึ้นระหว่าง DC ด้วยกันซึ่งการ replication จะแบ่งออกเป็น 2 แบบ.
- การ replication ใน site เดียวกันจะใช้เวลาประมาณ 15 วินาที. Reference
- การ replication ข้าม site ค่าเริ่มต้นอยู่ที่ 180 นาที ปรับได้ต่ำสุด 15 นาที และสู่งสุดไม่เกิน 7 วัน. Reference
หมายเหตุ: Replication ในที่นี้หมายถึง การสำเนาข้อมูลจากอีกที่หนึ่ง ไปเก็บไว้อีกที่หนึ่งและข้อมูลทั้ง 2 ฝั่งจะต้องเท่ากันเสมอ ไม่ว่าฝังได้จะมาการอัพเดทก็ตาม.
แสดงการใช้คำสั่ง repadmin /syncall ก่อนและหลังติดตั้ง additional domain controller และแสดงผลต่างกัน.
repadmin /syncall /Adep .เป็นคำสั่งในการสั่ง synchronization ภายใน domain โดยมันจะ sync all directory partition ภายใน domain. (เปิด command line ด้วย run as administrator)
แสดงการใช้คำสั่ง repadmin /showrepl ก่อนและหลังติดตั้ง additional domain controller และแสดงผลต่างกัน.
repadmin /showrepl .จะแสดงผลการ replication ทุก inbound ระหว่าง DC.
แสดงการใช้คำสั่ง repadmin /replsum ก่อนและหลังติดตั้ง additional domain controller และแสดงผลต่างกัน.
repadmin /replsum .ใช้สำหรับ monitoring การ replication ทั้งไปและกลับซึ่งเราสารมารถดูได้ว่า replication ของ DC Healthy (fails = o) หรือ Failed (fails > 0).
ทดสอบ Replication ระหว่าง ITC-AD01 และ ITC-AD02.
ทดสอบ Replication จาก ITC-AD01 (source) ไปยัง ITC-AD02 (destination).
1. สร้าง AD user บน Domain Controller เครื่อง ITC-AD01
2. ตรวจสอบ AD user ใน Domain Controller เครื่อง ITC-AD02 อาจจะรอสักประมาณ 30-45 วินาที.
ทดสอบ Replication จาก ITC-AD02 (source) ไปยัง ITC-AD01 (destination).
1. สร้าง AD user บน Domain Controller เครื่อง ITC-AD02
ตรวจสอบ Group Policy Management (GPM).
สำหรับ Group Policy Object (GPO) ควรที่จะมีเท่ากัน DC ทุกตัวภายใน Domain. จากภาพสังเกตุว่าจะมี GPO ที่เป็นค่าเริ่มต้นเหมื่อนกัน.
ทดสอบ GPO replication.
ทดสอบ Replication จาก ITC-AD02 (source) ไปยัง ITC-AD01 (destination).
1. สร้าง GPO บนเครื่อง ITC-AD02 ชื่อ GPO-AD02.
2. ตรวจสอบ GPO บนเครื่อง ITC-AD01 รอสักครู่ GPO จะถูก replication GPO มา.
ทดสอบ Replication จาก ITC-AD01 (source) ไปยัง ITC-AD02 (destination).
2. สร้าง GPO บนเครื่อง ITC-AD01 ชื่อ GPO-AD01.
2. ตรวจสอบ GPO บนเครื่อง ITC-AD02 รอสักครู่ GPO จะถูก replication GPO มา.
ตรวจสอบ Domain Name System (DNS) server.
หลังจากติดตั้งแล้วจะมี DNS ที่ทำงานร่วมกับ AD DS อยู่ 2 zone.
ตรวจสอบ DNS zone ชื่อ _msdcs.115itckp.local จะแสดง Name Server(NS) ซึ่งจะมี itc-ad02
ตรวจสอบ DNS zone ชื่อ 115itckp.local จะแสดง Name Server(NS) ซึ่งจะมี itc-ad02
สุดท้ายเรากลับมา run BEST PRACTIES ANALYZER อีกครั้ง.
หลังจากติดตั้ง addtitional domain controller เสร็จแล้วให้กลับมา run BPA อีกครั้ง.
หลังจาก run BPA เรียบร้อยแล้ว warning ดังกล่าวได้หายไป.
สำหรับบนความนี้จะจบเนื้อหาเพียงเท่านี้ ถ้าหากผิดพลาดประการได้ ต้องขออภัยไว้ ณ. ที่ด้วยครับ
ข้อมูลอ้างอิง.
ข้อมูลการติดตั้ง Additional Domain Controller.
https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/deploy/install-a-replica-windows-server-2012-domain-controller-in-an-existing-domain--level-200-
ข้อมูลของ BPA.
https://learn.microsoft.com/en-us/windows-server/administration/server-manager/run-best-practices-analyzer-scans-and-manage-scan-results
ข้อมูล repadmin tools.
https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/cc770963(v=ws.11)
ข้อมูล AD replication.
https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/get-started/replication/active-directory-replication-concepts
0 comments:
แสดงความคิดเห็น