Tuesday 11 August 2009

วิธีการติดตั้ง AD บน Windows Server 2008

AD Windows 2008
Introdution
สำหรับ บทความนี้เป็นตัวอย่างลง AD บน New Infrastucture ซึ่งเราจะใช้ Windows 2008 เป็น AD ทั้งหมด โดยในตัวอย่างนี้เรามี AD 2 ตัวเพื่อทำหน้าที่ Backup ซึ่งกันและกัน ในกรณีตัวใดตัวหนึ่งเสียสามารถทำงานทดแทนกันได้ สำหรับวิธีการลงนั้นไม่ยากซึ่งค่อนข้างจะเหมือนการลงบน Windows 2003 เพียงแต่มีลูกเล่นเพิ่มเติมขึ้นมาซึ่งเราจะมาดูกัน
Solution

โดยเราสมมติสถานการณ์ว่า บริษัทต้องการเปลี่ยน Enverlopment จาก Work Group มาเป็น Domain ซึ่งได้ทำการซื้อ Server มาใหม่ 2 ตัวเพื่อทำ Domain Controller
Step by Step


1. หลังจากทำการลง Windows เรียบร้อบ ( Install OS, Driver and preconfig network ) เราจะต้องทำการสั่ง Install role ลงบน Server เนื่องจากการลงบน Windows 2008 จะไม่เปิด service by default ดังนั้นเราจึงต้องทำการ prepare role

1.1 Open Server Management
AD Windows 2008

1.2 Add Roles
AD Windows 2008

2. หลังจาก Add Roles เรียนร้อยเราจะทำการสั่ง dcpromo ที่ RUN
AD Windows 2008

2.1. ทำการเลือกรูปแบบของ Domain ที่เราจะติดตั้ง ในที่นี้เราเลือก New in forest
AD Windows 2008

2.2. หลังจากเราใส่ Parameter ต่างๆเราจะมาถึงหน้าที่ทำการเลือก Domain Level ซึ่งตรงนี้จะมีผลต่อการใช้งาน Feature ของ AD ในที่นี้เราเลือก 2008
AD Windows 2008

2.3. Install Additional Option เนื่องจากเรายังไม่มี DNS เราก็เลือก Install DNS Server
AD Windows 2008

2.4. หลังจาก Click Next จะมี POP-UP ขึ้นมาเราเลือก Yes เลยครับ เนื่องจากเรายังไม่มี DNS Recorde เลย
AD Windows 2008

2.5. หลังจากในก็จะมีการให้ใส่ Parameter จนมาถึงหน้าสุดท้ายคือการสรุปสิ่งที่เราได้ทำมาตามเมนู ซึ่งเราสามารถ save เก็บไว้ได้ครับ ซึ่งขั้นตอนหลังจากนี้ Windows ก็จะทำการลง Service ให้เราแล้วก็ทำการ Reboot Server
AD Windows 2008

2.6. หลังจาก Reboot Server เรามาตรวจสอบกันว่าถูกต้องไหม สามารถเข้า Active Directory Users and Computers ได้ไหม
AD Windows 2008

3. ในส่วนของ Additional Domain ขั้นตอนการ Prepare จะเหมือนกับตัว Master ครับดังนั้นจึงขอข้ามามาที่ตอนสั่ง DCPROMO เลยแล้วกันครับ

3.1 DCPROMO เลือก Exitsting Forest ตามรูปครับ
AD Windows 2008

3.2 หลังจากนั้นก็จะมีการให้ใส่ Parameter ต่างๆ จนมาถึงขั้นตอนติดตั้ง Additional Option ให้เราเลือกแค่ DNS Server ก็พอครับแต่ถ้าอยากเลือก GC ด้วยก็ไม่ว่ากันครับ
AD Windows 2008

3.3 หลังจากกด Next จะมี POP-UP มาถาม ว่าคุณต้องการ Transfer Role Infrastucture ไหม อันนี้ถ้าเรามีหลายๆ Domain ใน Forest เดี๋ยวก็ทำตามที่เขาบอกไปครับ แต่เนื่องจากเรามีแค่ Domain เดี๋ยวแล้วเราต้องการให้ทุก Role อยู่บน Server เดี๋ยวกันเพื่อการ Maintanace ก็ไม่ต้อง Transfer ก็ได้ครับ
AD Windows 2008

3.4 จนมาถึงหน้าสุดท้ายคือการสรุปสิ่งที่เราได้ทำมาตามเมนู ซึ่งเราสามารถ save เก็บไว้ได้ครับ ซึ่งขั้นตอนหลังจากนี้ Windows ก็จะทำการลง Service ให้เราแล้วก็ทำการ Reboot Server
AD Windows 2008

4. หลังจากนั้นเราจะมาทำการตรวจสบกันครับว่าใช้งานได้ไหม

4.1 Open Active Directory Sites and Services จะเห็นว่ามีการสร้าง Connection เข้าหากันเพื่อทำการ Replication ข้อมูล
AD Windows 2008

4.2 CMD -> repadmin /replsummary เพื่อทำการ Check ข้อมูลที่ทำการ replication
AD Windows 2008

Summary จะ เห็นได้ว่า การติดตั้ง Active Directory บน Windows 2008 นั้นไม่ใช่เรื่องยากครับ อาจจะมีขั้นตอนเพิ่มขึ้นแต่ก็ไม่ได้ยากจนเราไม่เข้าใจ เพราะจะมีคำอธิบายทุกเมนูระหว่างเราติดตั้งครับ ยิ่งถ้าเคยทำบน Windows 2003 แล้วยิ่งเข้าใจง่ายขึ้นครับ

ขอบคุณข้อมูลจาก : thaiserv.net

Clone HDD ง่ายๆ บน Linux

/dev/sda คือ hdd ที่ทำงานปัจจุบัน ต้องการ clone ทั้งลูกไป /dev/sdb ซึ่งเป็น hdd ใหม่

เข้า single mode
#init 1

สั่ง clone
#dd if=/dev/sda of=/dev/sdb bs=512k &

แล้วรอ 1 ชมขึ้นไป
ขนาด hdd นั้น sdb ขาดไม่ควรต่ำกว่า sda

ห้าม User Logon พร้อมกันทีเดียว 2 เครื่อง

domain controller policy
.................................................
>computer configuration
>windows settings
>securiry settings
>local policies
>security options
Network access: Do not allow anonymous enumeration of SAM accounts>>>>เลือกให้เป็น enable
Network access: Do not allow anonymous enumeration of SAM accounts and share >>>> option ครับ

ห้าม User ใช้ USB โดยใช้ Group Policy

  1. ดาวโหลดไฟล์ ADM จาก ลิ้งค์นี้ไปวางไว้ที่เซฟเวอร์ usb_removable_drives_adm


  2. ทำการแตกไฟล์ มีอยู่ 2 ไฟล์ คือ install.bat และ removable_storage.adm ดับเบิ้ลคลิกที่ไฟล์ install.bat เพื่อทำการคัดลอกไฟล์ ADM ไปยังที่เก็บ GPO
    GPO ห้ามใช้ USB Drive


  3. ไปทำการสร้าง GPO ใหม่ โดยใช้อาจจะใช้ชื่อ “Disable USB drives” ก็ได้ แล้วทำการแก้ไข GPO
    GPO ห้ามใช้ USB Drive

  4. ใน GPO คลิกขวาที่ Computer / Administrative Templates และเลือก “Add / remove templates”
    GPO ห้ามใช้ USB Drive


  5. คลิกที่ Add เพื่อทำการเพิ่มไฟล์ ADM ที่เราคัดลอกไปใหม่ เลือก "Open" นำเข้ามายัง GPO
    GPO ห้ามใช้ USB Drive

    GPO ห้ามใช้ USB Drive

  6. ในหน้าต่าง GPMC คลิกที่ “View / Filtering” และเอาเครื่องหมายถูกที่ “Only show policy settings that can be fully managed” ออก
    GPO ห้ามใช้ USB Drive

  7. คลิกที่ “Computer Settings / Administrative Templates / Custom Policy Settings / Restrict Drives” และทำการเปลี่ยนแปลงค่าใน “Disable USB Removable Drives” เป็น “Enabled Stopped”
    GPO ห้ามใช้ USB Drive

  8. ก็เป็นอันเสร็จเรียบร้อย จากนั้นก็นำ GPO ที่เรานำเข้าไปบังคับใช้กับ Computer Group ที่เราต้องการ