ขั้นตอนการติดตั้งโดเมนลูก (Child Domain)

                ในกรณีนี้ เราสามารถได้โดยใช้ Active Directory Installation Wizard นั้นมีลักษณะคล้ายกับการติดตั้ง Forest Foot Domain แต่จะมีจุดที่แตกต่างกันอยู่เล็กน้อยดังนี้

1.       บนหน้าจอ Create New Domain ให้คลิกเลือก Child domain in an existing domain tree

2.       บนหน้าจอ Network Credentials ให้กรอกชื่อและรหัสผ่านของ ผู้ที่มีอำนาจในการตั้งโดเมนลูก ซึ่งโดยทั่วไปคือผู้ใช้ที่อยู่ในกลุ่ม Enterprise Admins

3.       บนหน้าจอ Child Domain Installation ให้ตรวจสอบชื่อของโดเมนหลักแล้วกำหนดชื่อของโดเมนลูกลงไป เช่นโดเมนหลักชื่อว่า ABC.COM ก็ตรวจสอบว่าชื่อถูกต้องหรือไม่ จากนั้นก็เติมชื่อของโดเมนลูกลงไปเช่น ASIA เป็นต้น ซึ่ง Active Directory ก็จะตรวจสอบว่าชื่อของโดเมนลูกที่ใช้ซ้ำกับโดเมนอื่นๆ หรือไม่ ถ้าไม่ก็จะสามารถติดตั้งโดเมนลูกได้โดยชื่อของโดเมนลูก ก็จะได้ว่า ASIA.ABC.COM ตามลักษณะโครงสร้างชื่อแบบ DNS Name

การติดตั้งโดเมนและฟอเรสต์

                ในหัวข้อนี้ เป็นขั้นตอนในการสร้างและการติดตั้งโดเมนและฟอเรสต์ การตรวจสอบภายหลังการติดตั้ง Active Directory และปัญหาที่มักจะพบในการติดตั้ง และแนวทางของการแก้ปัญหาที่เกิดขึ้น โดยแบ่งออกเป็นหัวข้อต่างๆ ดังต่อไปนี้

องค์ประกอบที่จะจำเป็นในการติดตั้ง Active Directory

                ก่อนการติดตั้ง Active Directory สิ่งแรกที่คุณควรจะทำคือ การตรวจสอบสเปคของเครื่องโดเมนคอนโทรลเลอร์ว่าเป็นไปตามข้อกำหนดในการใช้งาน ทั้งในส่วนนของฮาร์ดแวร์และซอร์ฟแวร์หรือไม่ ซึ่งองค์ประกอบหลักที่มีผลต่อการติดตั้ง Active Directory ประกอบด้วย

•           เป็นเครื่องที่ใช้ระบบปฎิบัติการ Microsoft Windows 2003 ทั้ง Standard edition, Enterprise edition, และ Datacenter edition ส่วน Web edition ไม่สามารถติดตั้งได้
•           ขนาดของพื้นที่บนฮาร์ดดิสก์ไม่ต่ำกว่า 250 MB โดยใช้เก็บฐานข้อมูลของ Active Directory ประมาณ 200 MB และไฟล์ Log ประมาณ 50 MB
•           พาร์ติชั่นที่ฟอร์แมตแบบ NTFS 1 พาร์ติชั่นเพื่อใช้เก็บโฟลเดอร์ SYSVOL
•           มีสิทธิในการจัดการกับระบบได้เทียบเท่ากับผู้ใช้ในระดับ Administrator
•            ติดตั้งโปรโตคอล TCP/IP และคอนฟิกให้ใช้งานร่วมกับ DNS Server

นอกจากนั้นก็คือส่วนของ DNS เพราะการใช้งาน Active Directory นั้นจำเป็นจะต้องใช้งานร่วมกับ DNS ที่คุณลักษณะตามความต้องการพื้นฐานของ Active Directory ซึ่งประกอบด้วย

•            SRV Record คือ เรคคอร์ดที่ใช้เก็บข้อมูลเกี่ยวกับ เครื่องที่ทำหน้าที่ให้บริการต่างๆ ของ Active Directory ใน DNS Server ซึ่งถ้าเราใช้งาน DNS ที่มีพร้อมกับวินโดวส์ จะสะดวกมากเนื่องจากมันสามารถใช้งานกับ SRV เรคคอร์ดได้ทันที
•           Dynamic Updates เป็นคุณสมบัติอีกข้อที่ควรจะมีใน DNS ที่จะใช้งานกับ Active Directory เพราะเมื่อมีการเปลี่ยนแปลงข้อมูลเกิดขึ้น คุณสมบัตินี้จะช่วยปรับข้อมูลให้ถูกต้องอยู่เสมอ โดย DNS ที่ไม่มีคุณสมบัติข้อนี้ เมื่อมีการเปลี่ยนแปลงข้อมูลเกิดขึ้นจะเป็นหน้าที่ของผู้ดูแลที่จะทำการปรับแต่งมัน
•            Incremental Zone Transfer เป็นคุณสมบัติอีกข้อของ DNS ที่จะใช้งานกับ Active Directory ที่ควรจะมี เพราะมันจะช่วยลดความหนาแน่นของปริมาณข้อมูลในระบบเน็ตเวิร์ก เพราะมันจะ Update เฉพาะข้อมูลส่วนที่แตกต่างกันระหว่าง DNS เครื่องหลักกับ DNS สำรอง โดยไม่ต้อง Update ข้อมูลทั้งหมด

การกำหนดโครงสร้างของโดเมนและฟอเรสต์

                เราจะศึกษาเกี่ยวกับการเตรียมการก่อนลงมือติดตั้ง Active Directory และองค์ประกอบสำคัญที่ มีบทบาทต่อการติดตั้ง Active Directory รวมทั้งแนวทางการในการกำหนดโครงสร้างของโดเมน และของฟอเรสต์ นอกจากนั้นจะได้ทำความเข้าใจเกี่ยวกับการใช้งาน DNS Server ร่วมกับ Active Directory การปรับเปลี่ยนโหมดในการทำงานของ Active Directory เพื่อให้สอดคล้องกับเวอร์ชั่นของวินโดวส์ที่มีใช้งานอยู่ภายในองค์กร และสุดท้ายคือเรื่องของการสร้างทรัสต์ เพื่อกำหนดความสัมพันธ์ของโดเมนทั้งในฟอเรสต์เดียวกัน และต่างฟอเรสต์

รูปแบบการบริหารระบบของ Active Directory

             ใน Windows Server 2003 นั้น ได้อำนวยความสะดวกให้กับผู้ดูแลระบบ ด้วยการติดตั้งเครื่องมือจำนวนมาก เพื่อให้สามารถใช้ควบคุมและจัดการกับข้อมูลได้จากศูนย์กลาง เพราะข้อมูลทั้งหมดที่ทำจะถูกเก็บลงในฐานข้อมูลเดียวกัน และในทางกลับกันก็อาจจะมองว่า เราสามารถแยกการควบคุมและการบริการออกเป็นหลายๆ ส่วนก็ได้ เพื่อความสะดวกในการทำงานกับฐานข้อมูลที่มีขนาดใหญ่

                การจัดการกับ Active Directory     

Active Directory มีเครื่องมือหลายตัวเพื่อใช้ในการจัดการกับทรัพยากรจากศูนย์กลาง ซึ่งการที่ Active Directory สามารถทำงานในลักษณะที่ว่านี้ได้ เพราะมีเหตุผลสนับสนุนดังนี้

q  Active Directory เก็บข้อมูลต่างๆ ไว้ในออบเจค ซึ่งออบเจคเหล่านั้นก็จะมีข้อมูลที่เกี่ยวกับทรัพยากรที่มีในระบบ ดังนั้นผู้ดูแลระบบเพียงคนเดียวก็สามารถดูแลและควบคุมทรัพยากรที่มีในระบบได้ผ่านทางเครื่องมือของ Active Directory เอง

q Active Directory สามารถค้นหาข้อมูลได้โดยการใช้งานผ่านโปรโตคอล LDAP ดังนั้นมันจึงเป็นเรื่องที่ง่ายสำหรับผู้ดูแลระบบที่จะเลือกดูและค้นหาข้อมูลของ Active Directory เพราะเครื่องมือต่างๆ ที่มีให้รองรับการทำงานบนโปรโตคอล LDAP

q Active Directory อนุญาตให้เราเก็บรวบรัมออบเจคต่างๆ ที่มีลักษณะของการกำหนดเงื่อนไขความปลอดภัยคล้ายกัน หรือต้องการรับบริการจาก Active Directory เหมือนกัน มาเก็บรวมเข้าด้วยกันภายใจ OU ซึ่งการเก็บรวบรวมออบเจคต่างๆ ไว้ใน OU นั้น นอกจากจะช่วยให้ข้อมูลต่างๆ ถูกจัดเก็บได้อย่างเป็นระเบียบแล้ว เรายังสามารถใช้เงื่อนไขเกี่ยวกับการทำงานของ Group Policy และการทำ Delegate Control เข้ามาช่วยในการทำงานได้อีกด้วย

q  สามารถกำหนดเงื่อนไขการทำงานด้วย Group Policy โดยการทำงานในส่วนของ Group Policy นั้น สามารถกำหนดได้ตั้งแต่ระดับ ของ Site , โดเมน และ OU โดย Group Policy สามารถควบคุม และกำหนดสภาพแวดล้อมการทำงาน ได้ทั้งสมาชิกที่อยู่ใน OU ทั้งยูสเซอร์แอคเคานท์และคอมพิวเตอร์แอคเคานท์

q Active Directory ช่วยให้การมอบหมายงานในส่วนของผู้ดูแลระบบไปยังผู้ใช้งานทั่วไปได้ โดยไม่จำเป็นต้องกำหนดให้ผู้ใช้คนนั้นๆ เป็นสมาชิกในกลุ่มของ Admins อีกต่อไป ซึ่งลักษณะของการทำงานดังกล่าว คล้ายคลึงกับการกำหนดสิทธิ์ให้กับผู้ใช้งานสามารถที่จะอ่านหรือเขียนข้อมูลลงบนไฟล์ได้ ซึ่งเราเรียกการทำงานในส่วนนี้ว่าการทำ Delegate Control

ลักษณะของการทำ Delegate Control ช่วยให้เราสามารถกำหนดวิธีการทำงานในลักษณะต่างๆ ดังนี้

q สามารถกำหนด Permission แบบ Full Control เพื่อให้ผู้ดูแลระบบในแต่ละส่วน สามารถจัดการกับระบบที่ตนเองดูแลได้อย่างเต็มที่ และไม่อนุญาตให้ผู้ดูแลระบบในส่วนงานอื่น เข้ามายุ่งเกี่ยวด้วย

q  สามารถกำหนดสิทธิในการแก้ไขได้ถึงระดับแอตทริบิวต์ของออบเจค ภายใจ OU ที่ดูแลนั้นๆ เช่น สามารถเปลี่ยน ชื่อ นามสกุล ที่อยู่ หมายเลขโทรศัพท์ และรีเซ็ตรหัสผ่านของผู้ใช้ทุกคนใน OU นั้นๆ

q สามารถกำหนดสิทธิตามลักษณะงาน เช่นสามารถรีเซ็ตรหัสผ่านให้กับผู้ใช้ทุกคนในโดเมนไม่ว่าจะอยู่ใน OU ใดก็ตาม

ลักษณะของชื่อแบบ Distinguished และ Relative Distinguished Names

         การค้นหาและการแก้ไขฐานข้อมูลของ Active Directory นั้น สามารถทำได้โดยใช้ โปรโตคอล LDAP (Lightweight Directory Access Protocol) เป็นโปรโตคอลหลักในการทำงาน โดยโปรโตคอล LDAP นั้นจัดเป็นซับเซ็ตของโปรโตคอล x.500 ซึ่งจัดได้ว่าเป็นโปรโตคอลมาตรฐาน ในการทำ Directory Services โดยโปรโตคอล LDAP นั้นใช้ข้อมูลจากโครงสร้างของชื่อโดเมนเป็นช่องทางในการค้นหาออบเจค รูปแบบของชื่อที่ LDAP ใช้ในการค้นหาสถานที่เก็บออบเจคนั้น มีลักษณะการเขียนอยู่ในโครงสร้างแบบ Logical ซึ่งเราเรียกว่า distinguish name โดยในที่นี้ distinguish name ก็คือชื่อของโดเมนที่ใช้เก็บออบเจคต่างนั่นเอง ซึ่งโดยทั่วไปชื่อที่เป็นแบบ distinguish name จะมีเพียงหนึ่งเดียวเท่านั้นภายใจฟอเรสต์

                ส่วน Relative Distinguish Name ก็คือ ชื่อของออบเจคที่เก็บอยู่ภายใจคอนเทนเนอร์ ซึ่งจะต้องไม่ซ้ำกับออบเจคอื่นๆ ที่มีในคอนเทนเนอร์นั้นๆ ยกตัวอย่างเช่น ผู้ใช้ชื่อ Somkid Saetang ซึ่งเป็นสมาชิกใน OU ชื่อ Trainers ซึ่งเก็บในโดเมนชื่อ ABC.COM เมื่อนำมาเขียนในรูปของโปรโตคอล LDAP ก็จะได้เป็น

                CN=Somkid Saetang,OU=Trainers,DC=ABC,DC=COM

                CN หรือ Common Name หมายถึง ชื่อของออบเจคที่เก็บอยู่ในคอนเทนเนอร์

                OU หรือ Organizational Unit หมายถึง คอนเทนเนอร์ที่ใช้เก็บออบเจคต่างๆ ซึ่งเราสามารถสร้างเป็น OU ย่อยๆ ภายใจเพื่อจัดระเบียบการเก็บออบเจคต่างๆ ให้เป็นระเบียบได้อีกด้วย โดยไม่มีข้อจำกัดเกี่ยวกับลำดับชั้นที่จะสร้าง

                DC หรือ Domain Components หมายถึง ตำแหน่งของโดเมนที่อ้างอิงใน DNS Server เช่น .COM หรือ .PERSON ซึ่งตามตัวอย่างใช้เป็น ABC.COM เพราะต้องการให้สอดคล้องกับชื่อที่ใช้ในระบบอินเตอร์เน็ตแต่หากไม่ต้องการก็อาจใช้เป็น ABC.PERSON ก็ได้ ฉะนั้นจากรูปแบบของข้อมูลตัวอย่าง ABC.COM จัดเป็นชื่อแบบ distinguish name ที่ใช้อ้างอิงตามลักษณะของ Domain Name System กับ DNS Server

                ส่วน Trainers จัดเป็นชื่อแบบ relative distinguish name ซึ่งเราใช้สำหรับอ้างอิงกับโปรโตคอล LDAP เพื่อใช้ระบุตำแหน่งที่เก็บออบเจคคือ

                OU=Trainers,DC=ABC,DC=COM

ทำความรู้จักกับ Global Catalog

          Active Directory กำหนดรูปแบบการทำงานภายใต้แนวคิดที่ว่า “สามารถใช้ทรัพยากรต่างๆ ที่มีร่วมกันได้ทั้งหมดแม้ว่าจะอยู่คนละโดเมนหรือแม้กระทั่งคนละฟอเรสต์” โดยที่ตัวของ Active Directory จะรับหน้าที่จัดการหน้าที่ตรงจุดนี้ให้

                ในการทำงานอุปสรรคข้อหนึ่งที่น่าสนใจก็คือ เมื่อเรามีทรัพยากรเก็บอยู่ในหลายๆ ที่ ถ้าเราต้องการจะใช้งาน เราจะสามารถหาทรัพยากรที่ว่านั้นพบได้ด้วยวิธีใด เพราะถ้าต้องไล่ค้นหาไปเรื่อยๆ ทีละโดเมนจนกว่าจะพบอาจต้องใช้เวลาค่อนข้างมาก ดังนั้นถ้าหากสามารถเรียกดูข้อมูลได้ โดยตรงไปเรียกจากที่ใดที่หนึ่งซึ่งสามารถบอกตำแหน่งที่เก็บข้อมูลได้ทันที จะช่วยให้การทำงานสะดวกและรวดเร็วยิ่งขึ้น ดังนั้นจึงเป็นที่มาของการนำ Global Catalog มาช่วยในการทำงาน

                โดยปกติหลังจากที่เราติดตั้ง Active Directory เสร็จแล้ว โดเมนคอนโทรลเลอร์เครื่องดังกล่าวจะถูกกำหนด บทบาทให้เก็บ Global Catalog เอาไว้ ดังนั้นเราจึงเรียกโดเมนคอนโทรลเลอร์เครื่องดังกล่าวว่า Global Catalog Server ซึ่งเราอาจจะมากำหนดเพิ่มเติมในภายหลังเพื่อความเหมาะสมก็ได้

                ตัวของ Global Catalog นั้นจะมีการเก็บข้อมูลบางส่วนของออบเจคต่างๆ จากทุกๆ โดเมนที่ถูกใช้งานบ่อยๆ เอาไว้ เพื่อให้บริการกับผู้ใช้เวลาที่ต้องการค้นหาข้อมูลจาก Active Directory ซึ่งแทนที่จะต้องไปหาจากทีละโดเมนจนกว่าจะพบ มาเป็นสอบถามจาก Global Catalog แทน

ประโยชน์ที่ได้รับจากการใช้งาน Active Directory

             Active Directory เป็นเครื่องมือที่ใช้ในการเก็บรวบรวมข้อมูลต่างๆ เกี่ยวกับยูสเซอร์แอคเคานท์, คอมพิวเตอร์แอคเคานท์ และทรัพยากรที่มีในเครือข่าย และกำหนดวิธีการให้ผู้ใช้รวมไปถึงโปรแกรมต่างๆ สามารถติดต่อเข้ามาใช้ข้อมูลทั้งในการค้นหา การเรียกดู และการกำหนดวิธีการเข้าไปใช้งาน การอนุญาต หรือไม่อนุญาตในการทำงานของผู้ใช้บางราย

                Active Directory ช่วยให้การจัดการกับข้อมูลสามารถทำได้จากศูนย์กลาง (Centralize Management) คือ สามารถสั่งควบคุมการทำงานของทั้งระบบจากจุดใดจุดหนึ่งในระบบได้ เพราะข้อมูลของทั้งระบบจะถูกเก็บและสามารถเปลี่ยนแปลงได้จากการสั่งงานบนตัวของ Active Directory

              นอกจากนั้นเรายังสามารถแบ่งเบาภาระงานบางอย่างของผู้ดูแลระบบ ออกไปยังผู้ที่ได้รับมอบหมาย ให้ทำงานบางอย่างภายใต้สิทธิที่ได้รับ

                   เมื่อเราติดตั้ง Active Directory ของ Windows Server 2003 แล้วทรัพยากรในระบบที่มีอยู่เดิมทั้งหมดก็สามารถเข้าใช้งานและสั่งการลงไป โดยมีการตรวจสอบเพื่อความปลอดภัยของระบบได้ โดยอาศัยการพิจารณาเป็นออบเจคที่จัดเก็บในโครงสร้างแบบมีลำดับชั้น ที่สำคัญที่สุดก็คือโครงสร้างแบบ Physical ของ Active Directory ช่วยให้เราสามารถควบคุมปริมาณข้อมูลที่มีในระบบเน็ตเวิร์กได้อีกด้วย เพราะสามารถกำหนดเงื่อนไขในการล็อกออน (Logon) ของเครื่องไคลเอนท์ว่าจะต้องขอทำการตรวจสอบ จากเครื่องโดเมนคอนโทรลเลอร์ที่อยู่ใกล้เคียงกับเครื่องไคลเอนต์ของผู้ใช้และยังสามารถควบคุมการเรพลิเคตบนเครื่องโดเมนคอนโทรลเลอร์ได้ว่าจะเกิดขึ้นได้เมื่อไหร่ และอย่างไร

โครงสร้างพื้นฐานของ Active Directory

Active Directory มีโครงสร้างพื้นฐานอยู่ด้วยกัน  2 รูปแบบที่เรียกว่า โครงสร้างแบบ Logical และ โครงสร้างแบบ Physical ซึ่งผู้ที่ทำหน้าที่ดูแลควรจะได้เข้าใจถึงโครงสร้างทั้ง 2 ลักษณะดังกล่าวนี้ก่อนเพราะจะทำให้สามารถกำหนดรูปแบบ และวิธีการทำงานกับ Active Directory ได้อย่างเหมาะสม

                โดยโครงสร้างแบบ Logical นั้นจะพูดถึง Active Directory ในแง่ของการติดตั้ง การบริหาร และการจัดการกับทรัพยากร เช่น ยูสเซอร์แอคเคานท์ (User Account), กร๊ป (Group) คอมพิวเตอร์แอคเคาท์ (Computer Account) รวมถึงเครื่องพิมพ์ (Printer) และแชร์โฟรเดอร์ (Public Share Folder) ซึ่ง Active Directory จะแสดงในรูปของออบเจค (Objects) และจัดเก็บใน OU, โดเมน โดเมนทรี และฟอเรสต์ ซึ่งถ้าเราเข้าใจโครงสร้างของ Active Directory ในลักษณะนี้จะช่วยให้เราสามารถติดตั้ง ควบคุม และวิเคราะห์ เพื่อหาแนวทางการแก้ปัญหาต่างๆ ได้

                ส่วนโครงสร้างแบบ Physical นั้นจะพูดถึง Active Directory ในแง่ของการติดต่อสื่อสารระหว่างเครื่องในระบบเน็ตเวิร์ก ซึ่งประกอบด้วย โดเมนคอนโทรลเลอร์ (Domain Controller) และไซต์ (Site) ซึ่งผลที่เกิดจากการกำหนดโครงสร้างของ Active Directory ให้เป็นแบบนี้ก็คือ การควบคุมเงื่อนไขของการทำเรพลิเคต Replicate รวมทั้งการลดปริมาณความหนาแน่นในช่องทางสื่อสารของระบบเครือข่าย ที่เกิดจากกระบวนการ Logon ของเครื่องไคลเอนท์