การโปรโมท (Promote) Active Directory หรือ ADDS บน Windows Server 2012 R2

สวัสดีครับ ห่างหายไปนานจากการเขียนบทความ ตอนแรกก็ลังเลใจอยู่ว่าจะทำเป็นวีดีโอหรือว่าจะเขียนเป็นบทความดี และทั้งสองวิธีนี้ใช้เวลาต่างกัน ทำวีดีโอ แป๊บเดียวก็เสร็จไม่ต้องเสียเวลามานั่งพิมพ์ๆๆๆๆ แล้วก็พิมพ์ๆๆๆ ทำโน่นนั่นนี่สารพัด แต่ก็คิดว่าไม่ทำดีกว่า เพราะอยากส่งเสริมให้คนไทย ได้อ่านหนังสือกันเยอะๆ ให้มากกว่า 8 บรรทัดต่อปี ฮ่าๆๆ อย่างน้อยถ้าอ่านบทความนี้แล้ว ก็เกิน 8 บรรทัดล่ะ (ตามที่เขาวิจัยกันมา)

วันนี้นอกใจ Linux หันมาสายงานวินโด้ว์กันสักนิด ในบทความนี้ขอใช้ Windows Server 2012 R2 แล้วกัน จริงๆ ณ ปัจจุบันถ้าซื้อ License ใหม่ๆ ก็จะเป็น 2016 กันหมดแล้ว

ทำไมต้องใช้ Active Directory หรือขอเรียกสั้นๆ ว่า ADDS ?

ADDS เป็นตัวย่อของคำว่า Active Directory Domain Services เอาเข้าใจง่ายๆ คือ เป็นการทำ Centralize Management นั่นเองครับ

แล้วไอ้ Centralize Management นี่มันคืออะไร มันคือการจัดการอะไรให้ง่ายๆ จากศูนย์กลาง คือ เซ็ตที่มันที่เดียว แล้วมีผลกระทบกับเครื่องคอมพิวเตอร์อื่นๆ ในระบบเครือข่าย และจอย(หรือเข้าร่วม) ใช้งานโดเมนของเรา

อ๋อ บอกก่อนน่ะ บทความนี้เขียนด้วยประสบกาม(การณ์) อันน้อยนิด ไม่ได้อ้างอิงวิชาการใดๆ ผมเองก็ไม่มี Certified ของ Microsoft เลยสักตัว อาศัยอ่านจากเว็บ ไปเรียนคอร์สทั้งแบบออนไลน์ และ Offline และจากประสบการณ์การ Implement ให้ลูกค้าใช้งาน กว่า 7-8 ปี ดังนั้นหากมีข้อผิดพลาด ก็บอกกล่าวกันไว้นะครับ จะได้ปรับปรุง

มาดูกันต่อ ว่าด้วยเรื่อง Centralize Management อย่างที่บอก มันคือการจัดการจากศูนย์กลาง แล้วไอ้ศูนย์กลางนี่มันทำอะะไรได้บ้าง

เอาแบบที่ผมสนใจแล้วกันน่ะ 
1. มันสามารถสร้าง ลบ แก้ไข บัญชีผู้ใช้จากศูนย์กลางได้
2. มันสามารถควบคุมการใช้งานเมนูต่างๆ จากศูนย์กลางได้
3. มันสามารถควบคุมพฤติกรรมการใช้งานผู้ใช้ได้จากศูนย์กลาง
4. มันสามารถนำมาใช้งานร่วมกับระบบอื่นๆ ได้ โดยใช้ ชื่อบัญชีเดียวกัน เช่น ใช้ร่วมกับ ซอฟท์แวร์ที่รองรับการทำงานร่วมกับ ADDS หรือ การเข้าใช้งานอินเตอร์เน็ตโดยต้องทำการ Login เข้าระบบก่อน (Hotspot) เช่น MikroTik หรือพวก Wireless ที่รองรับ Radius นั่นเอง
5. ควบคุมสิทธิ์การเข้าถึงไฟล์ โฟลเดอร์ต่างๆ ได้
6. อื่นๆ อีกสารพัดประโยชน์ มันเยอะ มากมาย

ลองนึกถึงภาพแบบง่ายๆ เลยแล้วกัน ว่าถ้าในบริษัทของคุณมีคอมฯ สัก 50-100 เครื่อง แล้วเผอิญว่า นโยบายผู้บริหารต้องการทำเรื่องความปลอดภัย ต้องการให้ทุกคนเก็บไฟล์งานไว้ที่ส่วนกลาง โดยการทำ Map Drive ไว้ งานจะงอกเลยน่ะ ถ้าคุณต้องวิ่งไปทำ map drive ให้กับคอมทุกเครื่อง ตรงกันข้ามถ้าคุณใช้ ADDS น่ะ แค่ไปคลิกๆ ไม่กี่ที บนเครื่อง ADDS แล้วสั่งปรับปรุงนโยบาย (update group policy) เท่านั้น map drive ก็จะไปโผล่ที่เครื่องลูกแล้ว ง่ายม่ะ ไม่ต้องวิ่งไปที่เครื่อง 50-100 เครื่องให้ปวดตับ เมื่อขา

หรือตัวอย่างต่อมา เราต้องการกำหนดสิทธิ์การเข้าใช้งานโฟลเดอร์ต่างๆ ที่ใช้งานร่วมกัน เช่น บริษัทมี แผ นก (แผนก) บัญชี บุคคล บริการ และการแชร์ไฟล์ร่วม อย่างนี้ แน่นอนว่าทุกคนไม่ได้มีสิทธิ์เข้าถึงงานหรือโฟลเดอร์ได้ทุกแผนก เพราะงานบางส่วนจะเข้าได้เฉพาะผู้ที่มีสิทธิ์ในการเข้าใช้งานเท่านั้น เช่น โฟลเดอร์แชร์ ของฝ่ายบัญชี จะเข้าได้เฉพาะใครที่อยู่ในแผนกบัญชีเท่านั้น และแน่นอน ฝ่ายบุคคล ก็จะเข้าได้เฉพาะฝ่ายบุคคล เช่นกัน ไม่เช่นนั้น งามใส้เลย ถ้าใครก็เข้าไปได้เห็นหมด ใครเงินเดือนเท่าไหร่ แล้วก็มางอลกันว่าคนนั้นได้มาก คนนี้ได้น้อย ฮ่าๆๆ อันนี้แค่ตัวอย่าง อย่าคิดมาก

เรื่องพวกนี้ ADDS ช่วยให้เราบริหารจัดการงานเหล่านี้ได้อย่างสะดวกโยธินพัฒนา กันเลยล่ะ ดังนั้นคุณจะเห็นว่าบริษัทต่างๆ หันมาใช้กันค่อนข้างเยอะ ยิ่งบริษัทที่ต้องเข้าตลาดหลักทรัพย์ ละก็ เป็นหนึ่งเรื่องเลยล่ะที่คุณจะต้องผ่านการตรวจสอบเรื่องความปลอดภัย เพราะมันไม่ได้ควบคุมแค่เรื่อง การเข้าถึงไฟล์ต่างๆ แต่มันรวมไปถึงความปลอดภัย ในการเข้าใช้งานเครื่องฯ ตามระยะเวลาต่างๆ ได้อีกด้วย เช่น พนักงานจะเข้าสู่ระบบได้เฉพาะช่วงเวลา 08.00 – 17.00 ในวัน จันทร์ – ศุกร์ ทำการเท่านั้น วันอื่นสะเหร่อเข้ามาจะใช้งานระบบจะทำการ Lock ไม่ให้เข้า หรือ สามารถกำหนดได้ว่า ชื่อบัญชีนี้ (username & pass) สามารถเข้าใช้งานเครื่องในในสำนักงานได้บ้าง มันก็สะดวกและปลอดภัยไม่ใช่น้อย

ร่ายมายาว ขอเอาแค่นี้ก่อน มาดูวิธีการติดตั้งมันบ้างดีกว่า ว่ายากง่ายอย่างไร ผมขอทำเป็น Step by Step คือทีละขั้นตอนเลยแล้วกันนะครับ ดังต่อไปนี้ (ไม่ขอเกริ่นล่ะนะ เดี๋ยวยาวอีก)

ในการติดตั้งมันจะมี 2 ขั้นตอนหลักๆ คือ

  1. ติดตั้ง ADDS Role
  2. โปรโมทโดเมน (promote Domain)

เริ่มขั้นตอนแรก ติดตั้ง AD DS Role

สำหรับการติดตั้ง Windows Server 2012 R2 คงไม่ต้องพูดถึงกันน่ะ ผมลัดคิวมาที่ เริ่มติดตั้ง ADDS กันเลย

คลิกที่ Server Manager จากนั้นคลิกที่ Add roles and features เพื่อติดตั้งกัน

จากนั้นคลิก Next ดำเนินการต่อไป

เลือก Role-based or features-based installation จากนั้นคลิกที่ Next ต่อไปจร้า

เลือ Select a server from the server pool แล้วคลิก Next ต่อไปจร้า

คราวนี้เราก็เลือก 2 เซอร์วิสที่ต้องการใช้งานครับ คือ 1. Active Directory Domain Services 2. DNS Server เลือกสองรายการนี้ แล้วคลิก Next โล๊ดจร้า

เวลาเราเลือกเซอร์วิสที่จะติดตั้งน่ะ มันจะให้เราคลิก Add Features ก็คลิกไปเลย ตัวนี้คืออะไร นะหรือ คือ โปรแกรมหรือ ฟีเจอร์ต่างๆ ที่มันต้องใช้ร่วมนั่นเอง มันเช็คให้แล้วก็เพิ่มเข้าไปให้อัตโนมัติ ด้นวอรีจร้า

จากนั้นก็กด Next อย่างเดียว เลยจร้าไปเรื่อยๆ

พอมาถึงขั้นตอนเริ่มติดตั้งล่ะ ก็คลิก Install เป็นอันเกือบเสร็จ ฮ่าๆๆๆ

ติดตั้งเสร็จเรียบร้อยแล้วก็กด Close ปิดหน้านี้ไป คุณหมดหน้าที่แล้ว ทำขั้นตอนต่อไปได้

ขั้นตอนที่ 2 โปรโมทโดเมน (Promote Domain Controller)

ไปที่ Server Manager แล้วคลิกที่ Notification คือส่วนแจ้งเตือนเรา เขาจะเตือนเราว่า คุณต้อง Promote Domain ด้วยน่ะจ๊ะ ระบบถึงจะใช้งานได้ (ปกติถ้าใช้ใช้ Windows Server 2003 เราสามารถพิมพ์คำสั่ง dcpromo ใน command prompt ได้เลย แต่เวอร์ชั่นนี้ไม่ได้ครับ ต้องคลิกที่ server manager เพื่อจัดการ หรือไม่ก็ต้องไปโน่นเลย คำสั่งด้วย power shell ครับ อันนี้ฮาร์ดคอร์ไป เอาง่ายๆ ละกันน่ะ)

เลือกที่ Add a new forest แล้วในช่อง Root domain name ให้ใส่ชื่อโดเมนที่คุณต้องการลงไป แนะนำให้ลงท้ายด้วย .local นะครับ เช่น otik.local ดังนั้นชื่อโดเมนของเราจะชื่อ otik นั่นเองครับ จากนั้นก็คลิก Next ต่อไปจร้า

ให้เราทำการเลือก Forest functional level และ Domain functional level ให้เลือกเป็น Windows Server 2012 R2 โล๊ดครับ จากนั้นก็กำหนดรหัสผ่านให้กับ DSRM ครับ อันนี้ต้องจำให้ได้เลยน่ะ สำคัญโคตรๆ มันใช่ใช่รหัสผ่านของ Administrator น่ะ ก็ใส่ไปสองครั้ง แล้ว Next ต่อไปจร้า

ส่วน DNS Options อ่านๆ ดู อ่านเสร็จก็ Next. ต่อไปจร้า

แสดงหน้าต่าง Verify the NetBIOS name assigned to the domain.. สังเกตว่ามันจะดึงชื่อโดเมนมาให้เรา ครับ และชื่อต้องไม่ซ้ำกันในระบบเน็ตเวิร์คเดียวกัน เสร็จแล้ว Next ต่อไปจร้า

กำหนด AD DS Database , Log files และ SYSVOL จากนั้นกด Next ต่อไปจร้า

แสดงหน้า Review your selections ตรงนี้คุณสามารถคลิก View script ได้น่ะ แล้วบันทึกไว้ เอาคำสั่งนี้ไปรันใน Power shell ได้เลย ฮ่าๆๆ แต่ขั้นตอนนี้ ก็คลิก Next ดำเนินการต่อไป

เกือบเสร็จล่ะ เป็นการตรวจสอบ Prerequisites check ถ้ามันขึ้นเขียวๆๆ All prerequisite check passed.. ก็ Install ได้เลยครับ

เขาจะเตือนเราว่า จะทำการ Signed out และทำการ restart เครื่องหนึ่งทีนะจ๊ะ ก็ปล่อยให้เขาทำได้ ตามใจพี่โด้ว์เขาเลย

เย้ เสร็จแล้ว พอเปิดเครื่องมาใหม่ เราก็ได้ Windows ที่พร้อมใช้งานเป็น AD DS เรียบร้อยแล้ว สังเกตุตรงด้านบนครับ เขาบอกเราว่าคุณกำลังเข้าใช้งานด้วยโดเมนชื่อ OTIK และผู้ใช้ชื่อ Administrator ครับ ใส่รหัสผ่านเดิมที่เราติดตั้งตอนแรกน่ะ เข้าไปแล้ว Enter เลยจร้า เสร็จสิ้น

เมื่อพร้อมใช้งาน เราก็มาลองสร้างชื่อบัญชี เพื่อจะอนุญาตให้เข้าใช้งานโดเมนฯ ของเรากันเลย

การสร้างชื่อบัญชีในระบบโดเมน

เข้าไปที่ Server Manager ก่อนเลยดอกแรก

แล้วคลิกที่ Tools และ Active Directory Users and Computers ครับ คือเป็นการเพิ่มผู้ใช้งานในระบบไงจ๊ะ

จากนั้นคลิกที่ที่ Users เลือก New จากนั้นเลือก User แล้วก็กำหนดรายละเอียดได้เลย

ใส่ชื่อ นามสกุล และ User logon name ลงไป แล้วกด Next (ตรง User login name อันนี้คือ username สำหรับ login โดเมนของคุณครับ)

แล้วก็กำหนดรหัสผ่านซะ 2 ครั้ง รหัสผ่านต้องประกอบไปด้วย ตัวอักษร เล็ก ใหญ่ และตัวเลข รวมกัน 8 ตัวอักษรนะจ๊ะ ใส่ง่ายๆ มันจะไม่ผ่านนะครับ

และให้คลิกที่ User must change password at next logon อันนี้คืออะไร มันคือ เมื่อผู้ใช้เข้าใช้งานครั้งแรก ผู้ใช้จะต้องทำการเปลี่ยนรหัสผ่านก่อน นั่นเอง ไม่งั้นถ้าไม่เปลี่ยนก็เข้าไม่ได้นะจ๊ะ แล้วเสร็จก็กด Next สิรออะไร

คลิก Finish เป็นอันเสร็จพิธีครับ พร้อมเข้าสู่โดเมนได้เลย ไปทำเครื่องลูกข่ายต่อเลย

 

การเข้าสู่โดเมนสำหรับเครื่องคอมพิวเตอร์ลูกข่าย

เครื่องที่จะเข้าใช้งานโดเมนฯ ได้นั่น จะต้องชี้ DNS ของท่านมาที่เครื่อง AD DS ด้วยนะครับ เอาง่ายๆ เนื่องจาก ADDS ที่เราติดตั้งไปนอกจากมันจะเป็นโดเมนเซอร์วิสแล้ว มันทำหน้าที่เป็น DNS ในระบบด้วย ดังนั้น แล้ว จากเดิมที่ปล่อย DHCP แล้วชี้ DNS ไปที่เร้าท์เตอร์ ก็ชี้กลับมาที่เครื่อง AD DS แทนครับ (ไม่งั้นคุณจะไม่สามารถ Join Domain ได้นะครับ)

ตัวอย่างคอนฟิกเครื่อง ADDS ผมไอพี 192.168.99.84 ของคุณก็กำหนดเองแล้วกันนะครับ อย่าใส่แบบผม แล้วมาบอกว่าไม่เห็นใช้งานได้เลย อันนี้แนะนำให้เขกกะโหลดตัวเองสักทีนะครับ ฮ่าๆๆๆ

คลิกขวาที่ My Computer หรือว่า This PC นะจ๊ะ แล้วเลือกคำสั่ง Properties  จากนั้นให้คลิกที่ Change settings ดังภาพ และในช่อง To rename this computer or change… .ให้คลิกที่ Change ครับ

จากนั้นในช่อง Domain ให้ใส่ชื่อโดเมนที่คุณต้องการเข้าใช้งานไป เช่น ใส่ otik หรือจะใส่เต็มๆ ก็ได้คือ otik.local ดังตัวอย่าง จากนั้นก็คลิกที่ OK

เขาจะให้ใส่ ชื่อบัญชี ของคนที่มีสิทธิ์อนุญาติให้เราเข้าใช้งานระบบได้ ตัวอย่างผมใช้สิทธิ์ของ Administrator บน โดเมน จัดการเลย ก็ใส่ไปแล้วกด OK

ถ้าไม่ติดปัญหาใดๆ ก็จะแสดงหน้าต่าง เวรกำโดเมน ฮ่าๆๆ ยินดีต้อนรับเข้าสู่โอติก โดเมนจร้า คลิก OK เลย

เขาบอกว่าเพื่อให้มีผลกับการใช้งานแนะนำให้ Restart เครื่องหนึ่งที ก็ OK ไปตามเขาบอกนั่นแหละ

คลิก restart Now โล๊ดจร้า

เมื่อเครื่องเปิดขึ้นมาก บางครั้งมันยังอยู่ที่ชื่อบัญชีของเครื่องเรา (Local) คุณคลิกปุ่มลูกศร ทางซ้ายได้เลย ดังภาพ เพื่อเปลี่ยนมาเข้าเป็น Domain แทน

เลือก Other user จร้า

นี่ไง Sign in to : OTIK พร้อมสำหรับเข้าสู่โดเมน โอติกล่ะ ใส่ User & Password ลงไปเลยจร้า จากที่เราได้สร้างไว้ก่อนหน้า ตัวอย่าง user : amnuay ก็ใส่เข้าไป และรหัสผ่าน แล้วกด Enter

ระบบจะฟ้องเลยว่า เราต้องทำการเปลี่ยนรหัสผ่านใหม่ก่อน จึงจะเข้าใช้งานระบบได้ ก็กด OK ได้เลย

กำหนดรหัสผ่านใหม่เข้าไป สองครั้งครับ แล้ว Enter

ถ้ารหัสถูกต้องตามเงื่อนไข ก็ยินดีเข้าสู่การใช้งานได้เลย รหัสผา่นเปลี่ยนเรียบร้อย คลิก OK เข้าใช้งานได้เลยจร้า

อันนี้คือหน้าจอสำหรับพร้อมการใช้งาน สังเกตุ ขึ้นชื่อให้เราด้วย amnuay pintong อิอิ เสร็จแล้วจร้า

บทความนี้ขอแค่นี้ก่อนละกัน เดี๋ยวต่อไปจะมาเหลาต่อ สำหรับการสร้าง Map drive หรือการกำหนด Policy ต่างๆ บน ADDS และ การติดตั้ง NPS เสริมเพื่อให้ ADDS ใช้งานร่วมกับ ไมโครติกได้ นั่นเอง ไว้รอบหน้า บทความนี้ยากไปล่ะ ฮ่าๆๆ จุ๊บๆ บ๊ายบาย จร้า

สุดท้าย ฝากร้าน สนใจให้เราดูแล ติดต่อเราได้ 

โอติก เน็ตเวิร์ค จำกัด
www.otiknetwork.com | 02-538-4378 | 095-549-9819 (อำนวย)

 

One comment

  1. domain server เป็น windows 2008 r2 Server ถ้าต้องการทำ backup domain 2nd เป็น windows 2012 r2 server ได้หรือเปล่า

Leave a Reply

อีเมลของคุณจะไม่แสดงให้คนอื่นเห็น ช่องข้อมูลจำเป็นถูกทำเครื่องหมาย *