รู้จักกับ Active Directory และการติดตั้ง Domain Controller บน Windows 2008R2

0
25956

เบื้องต้นเกี่ยวกับ ADDS ทำความรู้จักกับ Active Directory

Active Diretory เป็นเครื่องมือ ที่มีมากับ Windows Server Operating System โดยทำหน้าที่ช่วยจัดการทรัพยากรในระบบ จากจุดศูนย์กลางโดยเครื่องมือของ Server Domain Controller ถ้าองค์กรที่มี User มาก ๆ นำ Active Directory มาใช้งาน จะช่วยลดภาระค่าใช้จ่ายในการบริหารจัดการ User Environment อีกทั้งยังเพิ่มความปลอดภัยให้กับระบบโดยรวมโดยที่ไม่ต้องซื้อเครื่องมือเพิ่มเติม (มีมากับ Windows อยู่แล้ว ถ้าใช้ให้เป็น ปรับแต่งให้ดี ระบบก็จะมีประสิทธิภาพเป็นประโยชน์ต่อองค์กร)

สมัย Windows 2000 – Windows 2003 เค้าเรียกกันแค่ AD หรือ Active Directory แต่ใน Windows 2008 เรียกเพิ่มว่า Active Directory Domain Services (ADDS) ขอให้เข้าใจว่าเป็นเรื่องเดียวกัน

ADDS เป็นพื้นฐานที่สำคัญสำหรับผู้ดูแลระบบสาย IT Pro ของ Microsoft ที่จำเป็นจะต้องเรียนรู้ไว้เป็นพื้นฐานในการนำไปเรียนรู้ต่อยอด หรือติดตั้งปรับแต่งระบบที่เกี่ยวกับ Microsoft Server Platform หรือในหน่วยงานที่ใช้งาน Microsoft Platform เป็นหลัก

Active Directory Domain Services (ADDS) เป็น Roles บน Windows Server ที่มีไว้เพื่อใช้งานเกี่ยวกับการ ระบุตัวตน (ช่วย Authentication & Authorization & Audit) และการเข้าถึงทรัพยากรต่าง ๆ บนขอบเขตของ Active Directory ซึ่ง Windows Server 2008 เน้นใช้คำว่า (identity and access) หรือ IDA

ก่อนอื่น มาทำความรู้จักศัพท์ที่ใช้เรียกในระหว่างการเรียนรู้ดังนี้

ทำความรู้จักกับ Active Directory

 

Active Directory Domain Services (ADDS) =

เป็นชื่อเรียก Roles ในการทำงานบน Windows Server 2008 (สมัย Windows Server 2003 เรียก Active Directory เฉย ๆ ซึ่งขอให้เข้าใจว่าเป็นเรื่องเดียวกัน) ADDS ช่วยเป็นศูนย์กลางในการบริหารจัดการการเข้าถึงทรัพยากร โดยที่ช่วยจัดการเรื่อง Authentication, Authorization, Auditing อีกทั้งยังสามารถใช้บริหารจัดการ Clients Environment ด้วย Group Policy

Domain Controller (DC) =
ใช้เรียกเครื่อง Server ที่สั่งให้ทำงานใน Roles ของ Active Directory Domain Services (ADDS)

Active Directory Database หรือ Active Directory Data Store =

หลังจากติดตั้ง Roles ของ Active Directory Domain Services (ADDS) ลงบนเครื่อง Windows Server เรียบร้อยแล้ว ระบบจะสร้าง Database ขึ้นมาเพื่อเก็บ Object ไว้สำหรับเรียกใช้งาน เช่น Users, Computer Accounts, Printer, Shared Folder, ข้อมูลเกี่ยวกับ Identities โดยที่อยู่ของ AD database จะเก็บไว้ที่ Folder %Systemroot%\ntds

วางแผน Pre Install Active Directory: ก่อนการติดตั้ง Active Directory Server Role

1. Windows 2008 R2 รองรับ CPU แบบ x64 และ Itanium เท่านั้น

2. เครื่อง Server ที่มี OS อยู่แล้วก่อนจะทำเป็น Active Directory Server ต้องแน่ใจว่า SID ใหม่จริง ๆ ไม่ใช่การ Clone มาใช้งาน (เพื่อป้องกัน SID ซ้ำซ้อนกัน)

3. วางแผนชื่อ (Namespace & DNS) ให้เรียบร้อย (ชื่อ Server และ ชื่อ domain)

4. จะต้องมี DNS Server เพื่อรองรับการทำงานของ ADDS ซึ่งตาม Best Practice ควรใช้ DNS Server ของ Microsoft Windows

5. IP Address ของเครื่อง Server Domain Controller ต้องเป็น Static IP Address

6. Password Restore Mode ระหว่างการติดตั้งจะมีการให้ตั้งค่า Password Restore Mode ควรบันทึกจดไว้ด้วยจะได้ไม่ลำบาก recovery ทีหลัง

7. Network Firewall การใช้งาน Active Directory ระหว่าง Clients / Servers จำเป็นต้อง Allow Port ที่ Firewall ตามข้อมูล Link ด้านล่าง หรือใช้ Keyword “Active Directory and Active Directory Domain Services Port Requirements” ในการค้นหา
http://technet.microsoft.com/en-us/library/dd772723(WS.10).aspx

Configuration Time-Zone ตั้งค่า OS ที่ติดตั้งเสร็จแล้วระหว่าง client / server การตั้งค่า Time Zone เป็นเรื่องสำคัญมาก ๆ ครับ

Install an AD DS DC to Create a Single Domain Forest

สามารถดู VDO Step By Step ประกอบหนังสือเล่มนี้ได้ที่

http://www.mvpskill.com/kb/%E0%B8%A7%E0%B8%B4%E0%B8%98%E0%B8%B5%E0%B8%95%E0%B8%B4%E0%B8%94%E0%B8%95%E0%B8%B1%E0%B9%89%E0%B8%87-active-directory-windows-2008r2.html

Objective:

เรียนรู้ที่จะติดตั้ง ADDS Roles (การสร้าง Domain Controller เครื่องแรกในระบบ)

นัดหมายการทำ LAB ดังนี้คือ

Server Name = dc01

Domain Name = demo.local

IP Address = 192.168.1.10

Primary DNS = 192.168.1.10

ภาพรวมของขั้นตอนสร้าง Domain Controller ตัวแรกในระบบ Forest

1. Add Roles “Active Directory Domain Service” โดย Server Manager

2. ใช้คำสั่ง dcpromo.exe เพื่อติดตั้งตาม Wizard

Step By Step: ทำการสร้าง Domain Controller ตัวแรกขึ้นมาในระบบโดยใช้ชื่อ dc01.demo.local

Step: 1 ที่เครื่อง Server dc01 ตรวจเช็ค IP Address / Primary DNS ให้เรียบร้อย จากนั้นเข้าไปที่ Server Manager แล้วทำการเลือก Add Roles

clip_image002

Step: 2 เลือก Next จากนั้นทำการเลือก Active Directory Domain Services

clip_image004

Step: 3 กด Next ไปเรื่อย ๆ จนกว่าจะเสร็จ

Step: 4 หลังจากติดตั้ง AD DS Role เสร็จแล้วให้ใช้คำสั่ง Dcpromo.exe เพื่อเข้าสู่ Wizard การเลือกติดตั้ง Active Directory ซึ่งจะใช้คำสั่ง Run > Dcpromo.exe หรือทำการเลือกคลิ๊กจาก Wizard ในหน้าจอ Server Roles ก็ได้

clip_image006

Step: 5 กด Next โล้ด

clip_image007

Step: 6 กด Next โล้ด จนถึงหน้าจอให้เลือก ประเภทของ Domain / Forest ซึ่งในที่นี้เป็น Domain Controller ตัวแรกของระบบจึงต้องเลือก Create a new domain in a new forest

clip_image008

Step: 7 ทำการตั้งชื่อ Domain namespace ตามที่ออกแบบไว้ ในที่นี้ใช้ .local เนื่องจากจะได้ไม่ซ้ำกับ domain ทีมีอยุ่จริงในระบบ

clip_image009

Step: 8 ทำการเลือก Forest Functional Level อ่าน

clip_image011

อ่านเกี่ยวกับ Functional Level เพิ่มเติมได้ที่ http://technet.microsoft.com/en-us/library/understanding-active-directory-functional-levels(WS.10).aspx

Step: 9 ทำการเลือกติดตั้ง DNS Server โดยอัตโนมัติพร้อมไปด้วยเลย

clip_image012

Step: 10 สังเกตุข้อความที่ให้ดูว่า ส่วนประกอบของ Database / Log / SYSVOL อยู่ตรงใหนบ้าง

clip_image013

Step: 11 ตั้งรหัสผ่านของการใช้งาน Active Directory Restore Mode

clip_image014

Step: 11 หลังจากนั้นรอติดตั้งเรียบร้อย ทำการ Reboot เครื่อง Server dc01 ให้เรียบร้อย

clip_image015

Checklist เพื่อตรวจสอบหลังการติดตั้ง Domain Controller

Best Practice การตรวจสอบหลังจากติดตั้ง Domain Controller เสร็จเรียบร้อยแล้ว

1. ตรวจสอบ Event Viewer ดู Error (ไม่ควรมี Error ระดับรุนแรงหรือแจ้งเตือนจากระบบการใช้งานหลัก) สามารถเปิดโดยใช้คำสั่ง eventvwr

2. ตรวจสอบ AD Database ว่าถูกสร้างมาเรียบร้อย ?

3. ตรวจสอบ SYSVOL / Net logon ต้องถูกสร้าง Share มาโดยอัตโนมัติและเข้าถึงได้ ?

4. ตรวจสอบ DNS Record (ถ้าอยู่เครื่องเดียวกับ Domain Controller) ?

5. ทดสอบเข้าถึงเครื่องมือ Default ต่าง ๆ ให้ครบ เครื่องมือที่อยู่ใน Administrative Tools เช่น AD Users & Computer / AD Site & Service?

6. Review Default Configuration เช่น Built-in Container. / Computers Container. / Domain Controllers Container.