ทรี (Tree) หมายถึงกรุ๊ปโดเมนบน Windows Server

ซึ่งมี Name space ที่ต่อเนื่องกัน และอยู่ภายใต้ทรีเดียวกัน เช่น ในโครงสร้าง AD มีโดเมนชื่อ siam2019.com โดยมีโดเมนย่อยชื่อ cm.siam2019.com และ bkk.siam2019.com นอกจากนี้ยังมีแผนกย่อย sale.bkk.siam2019.com อีกด้วย แสดงให้เห็นว่าเป็นการจัดโครงสร้างลำดับชั้น (Hierarchical) ภายใต้ Name space เดียวกัน (Contiguous DNS namespace) เรียกง่ายๆ คือ โดเมนหลัก (Parent Domain) + Child Domain หมายถึง 1 ทรี แต่ถ้ามีการขยายกิจการใหม่ จะต้องตั้งชื่อกิจการใหม่ไม่ให้เหมือนเดิม โดยติดตั้งโดเมนสำหรับกิจการใหม่นี้ว่า riverside.com ก็จะกลายเป็นอีก 1 ทรี

ดังนั้นการติดตั้งโดเมนคอนโทรลเลอร์แบบ Domain Tree ก็คือ การกำหนดโดเมนคอนโทรลเลอร์เข้ามาดูแลทรัพยากรภายใต้ทรีใหม่และใช้โดเมนใหม่ riverside.com โดยเชื่อมต่อกับทรีที่เป็นโดเมนหลัก คือ siam2019.com รวมอยู่เป็นฟอเรสต์เดียวกัน

มีการ Trust กันระหว่างโดเมน เรียกว่า Tree Root Trust หรือเรียกว่า Two – Way Trust (Transitive Trust) และไม่มีการ Share Contiguous DNS namespace แต่ถ้าเป็นการ Trust กันภายในโดเมนเดียวกัน เช่น siam2019.com กับ bkk.siam2019.com จะเป็นการ Trust แบบ Parent – Child Trust ผู้ดูแลระบบของโดเมน siam2019.com จะมีสิทธิ์ในระดับ Enterprise Admin Groups ที่สามารถจะควบคุมแก้ไข – ปรับแต่งค่าต่างๆ บน Child Domain และ Domain Tree ได้อีกด้วย

ในตัวอย่างเราจะติดตั้งโดเมนคอนโทรลเลอร์ดูแลทรีโดยใช้โดเมนใหม่ riverside.com และเชื่อมต่อร่วมกับฟอเรสต์ภายใต้โดเมนหลัก siam2019.com เริ่มต้นให้เราติดตั้ง Server Role ชื่อ Active Directory Domain Service ให้เรียบร้อย

จากนั้นก็รีสตาร์ทเครื่องและทำตามขั้นตอนดังนี้

1. หน้าต่าง Server Manager ให้คลิกที่เครื่องหมาย Link และเลือก Promote this server to a domain controller
2. ที่แท็บ Deployment Configuration เลือกการติดตั้งแบบ Add a new domain to an existing forest เพื่อเพิ่มโดเมนใหม่ในฟอเรสต์เดิมที่มีอยู่แล้ว
3. เลือกชนิดโดเมนเป็น Tree Domain
4. ระบุชื่อโดเมนหลักและโดเมนเนมใหม่
5. คลิก Change ระบุผู้มีสิทธิ์จัดการโดเมน
6. พิมพ์ ชื่อโดเมนหลัก \Administrator และรหัสผ่าน จากนั้นคลิกปุ่ม OK
7. กลับมาที่แท็บ Deployment Configuration แสดง ชื่อโดเมนหลัก ชื่อโดเมนใหม่ และชื่อผู้จัดการระบบ จากนั้นคลิกปุ่ม next
8. ที่แท็บ Domain Controller Options ใส่รหัสผ่านของ Directory Services Restore Mode จากนั้นคลิกปุ่ม Next
9. ที่แท็บ DNS Options แจ้งการสร้าง DNS delegation อัตโนมัติและชื่อผู้ใช้ในการสร้าง จากนั้นคลิกปุ่ม Next
10. ที่แท็บ Additional Options แสดงชื่อโดเมนแบบ NetBIOS domain name จากนั้นคลิกปุ่ม Next
11. ที่แท็บ Paths แสดงพาธที่เก็บฐานข้อมูล AD DS, ไฟล์ Log และ SYSVOL จากนั้นคลิกปุ่ม Next
12. ที่แท็บ Review Options แสดงข้อมูลการติดตั้งทั้งหมด จากนั้นคลิกปุ่ม Next
13. ที่แท็บ Prerequisites Check แจ้งการตรวจสอบความถูกต้องที่กำหนดไว้ จากนั้นคลิกปุ่ม Install
14. เมื่อติดตั้งเสร็จระบบจะทำการรีสตาร์ทเครื่อง
15. หน้า Lock screen แสดงการล็อกออนเข้าสู่ Domain Tree

เมื่อได้ล็อกออนเข้าสู่โดเมน siam2019.com แล้ว ลองทำการตรวจสอบการเป็น Additional Domain Controller โดยไปที่หน้าต่าง Server Manager เลือกแท็บ Local Server สังเกตชื่อเครื่อง Penguin77 ได้อยู่ในโดเมน siam2019.com

เปิดเครื่องมือ Active Directory Users and Computers มาที่คอนเทนเนอร์ Domain Controller จะเห็นว่ามีเครื่องมือที่เป็น Domain Controller อยู่ 2 เครื่องคือ Capricorn และ Penguin77 มี DC Type เป็น GC และในหน้าจอ PowerShell ให้พิมพ์คำสั่ง nbtstat –n จะแสดงรายชื่อเครื่องที่ลงทะเบียนในระบบ

การติดตั้ง Primary Domain Controller บน Server Core

เป็นวิธีสร้างความปลอดภัยและป้องกันการโจมตีโดเมนคอนโทรลเลอร์ โดยการใช้โหมด Server Core ซึ่งเป็นระบบปฏิบัติการรูปแบบใหม่ที่มีตั้งแต่ Windows Server 2008 เพราะ Server Core ไม่มี Graphic Mode ที่เพิ่มภาระในการประมวลผล ไม่ติดตั้งระบบ Component, Binary, Services ต่างๆ ที่ไม่จำเป็น ทำให้ Server Core ถูกโจมตีจากแฮกเกอร์ได้น้อยมาก แต่ก็มีข้อจำกัดคือ ไม่สามารถทำงานกับ Roles ได้ทุกตัว

รู้จัก Unattend Installation

เป็นการติดตั้ง Windows Server หรือส่วนการทำงานต่างๆ โดยกำหนดข้อมูลคำตอบเอาไว้ล่วงหน้า ทำให้ไม่ต้องรอการกรอกข้อมูลจากยูสเซอร์ เราจะติดตั้งโดเมนคอนโทรลเลอร์แบบ Unattend ด้วยคำสั่ง DCPROMO ร่วมกับสคริปต์ไฟล์ออพชัน /unattend:filename ไฟล์ Unattend นี้จะเป็นเท็กซ์ไฟล์ธรรมดาที่เก็บคำสั่งและคำตอบในการติดตั้ง Active Directory ปกติแล้วไฟล์ unattend เป็นแบบ Case Insensitive คือ ไม่สนใจตัวอักษรพิมพ์ใหญ่ – พิมพ์เล็ก ยกเว้นรหัสผ่านเท่านั้น ในไฟล์ Unattend จะมีส่วน (Section) ของ [DCInstall] สำหรับกำหนดรูปแบบในการติดตั้ง Active Directory

วางแผนการติดตั้งโดเมนคอนโทรลเลอร์ในแบบ Unattend Installation

– ต้องการให้เป็นโดเมนคอนโทรลเลอร์ตัวแรก (New Domain) ของระบบ หรือเป็นโดเมนเสริมการทำงาน (Replica Domain)

– โดเมนมีชื่อว่าอะไร มีความสัมพันธ์ (Trust) กับฟอเรสต์เดิม (Join to Forest) หรือไม่ หรือสร้างเป็นฟอเรสต์ใหม่ (New Forest)

– ใช้โฟลเดอร์ใดในการเก็บไฟล์ฐานข้อมูลของ Active Directory ที่ชื่อ NTDS.dit ไฟล์ทรานเซกชัน ล็อก รวมทั้งโฟลเดอร์ Sysvol

– สิทธิ์ของยูสเซอร์ในการสร้างโดเมนคอนโทรลเลอร์ ถ้าเป็นการติดตั้งโดเมนคอนโทรลเลอร์ตัวแรก (New Domain) จะต้องใช้ยูสเซอร์ Local Administrator แต่ถ้าติดตั้งโดเมนคอนโทรลเลอร์ใหม่ภายใต้โดเมนเดิม (Exist Forest) ต้องใช้ยูสเซอร์ที่เป็นประเภท Enterprise Admin Group

• การแบ็คอัพฮาร์ดดิสก์ทั้งลูกเป็นไฟล์อิมเมจ (HDD to Image)

การแบ็คอัพฮาร์ดดิสก์เป็นไฟล์อิมเมจ คือการสำรอง หรือสำเนาข้อมูลทั้งหมดบนฮาร์ดดิสก์ (พาร์ทิชั่นทั้งหมดบนฮาร์ดดิสก์) ให้อยู่ในรูปแบบของไฟล์อิมเมจ

• การแบ็คอัพฮาร์ดดิสก์แบบพาร์ทิชั่นไปยังพาร์ทิชั่น (Partition to Partition)

การแบ็คอัพฮาร์ดดิสก์แบบพาร์ทิชั่นไปยังพาร์ทิชั่น คือการสำรอง หรือสำเนาข้อมูลบนพาร์ทิชั่นต้นทางไปยังพาร์ทิชั่นปลายทาง โดยข้อมูลบนพาร์ทิชั่นปลายทางจะเหมือนกับพาร์ทิชั่นต้นทางทุกอย่าง

• การแบ็คอัพฮาร์ดดิสก์ลูกเก่าไปยังฮาร์ดดิสก์ลูกใหม่ (HDD to HDD)

การแบ็คอัพฮาร์ดดิสก์ลูกเก่าทั้งลูกไปยังฮาร์ดดิสก์ลูกใหม่ คือการสำรอง หรือสำเนาข้อมูลทั้งหมดบนฮาร์ดดิสก์ต้นทาง (พาร์ทิชั่นทั้งหมดบนฮาร์ดดิสก์) ไปยังฮาร์ดดิสก์ปลายทาง โดยข้อมูลจะเหมือนเดิมทุกอย่าง

• การแบ็คอัพไฟล์ข้อมูลไปยังฮาร์ดดิสก์ลูกใหม่ (Files to HDD)

การแบ็คไฟล์ข้อมูลไปยังฮาร์ดดิสก์ลูกใหม่ คือการแบ็คอัพ หรือสำรองไฟล์ข้อมูลจากฮาร์ดดิสก์ลูกเก่าไปยังฮาร์ดดิสก์ลูกใหม่ หรืออุปกรณ์เก็บข้อมูลตัวอื่น โดยไฟล์ข้อมูลจะอยู่ในรูปแบบใดรูปแบบหนึ่ง

• การกู้คืนข้อมูลจากไฟล์อิมเมจไปยังพาร์ทิชั่น (Image to Partition)

การกู้คืนข้อมูลจากไฟล์อิมเมจไปยังพาร์ทิชั่น คือการเรียกคืนข้อมูลจากไฟล์อิมเมจไปยังพาร์ทิชั่นที่ต้องการ โดยข้อมูลบนพาร์ทิชั่นนั้นจะเหมือนเดิมทุกอย่าง

• การกู้คืนข้อมูลจากไฟล์อิมเมจไปยังฮาร์ดดิสก์ทั้งลูก (Image to HDD)

การกู้คืนข้อมูลจากไฟล์อิมเมจไปยังฮาร์ดดิสก์ คือการเรียกคืนข้อมูลจากไฟล์อิมเมจไปยังฮาร์ดดิสก์ที่ต้องการ โดยข้อมูลบนฮาร์ดดิสก์นั้นจะเหมือนเดิมทุกอย่าง

ข้อควรปฏิบัติในการแบ็คอัพข้อมูลบนคอมพิวเตอร์

– ไม่ควรแบ็คอัพไฟล์ข้อมูลไว้บนหน้าเดสก์ท็อป

– ควรแยกแบ็คอัพไฟล์ข้อมูลออกจากพาร์ทิชั่น หรือไดรฟ์ติดตั้งระบบปฏิบัติการ

– ควรแบ็คอัพไฟล์ข้อมูลไว้บนฮาร์ดดิสก์แบบพกพา หรืออุปกรณ์เก็บข้อมูลภายนอก (External Hard disk)

– แบ็คอัพไฟล์ข้อมูลอยู่เสมอ

สิ่งที่ควรทำก่อนแบ็คอัพข้อมูลบนคอมพิวเตอร์

ก่อนทำการแบ็คอัพข้อมูลบนฮาร์ดดิสก์ คุณจำเป็นต้องทำ Computer Cleaning หรือ Deep Cleaning เพื่อทำความสะอาด หรือกำจัดสิ่งที่ไม่จำเป็นออกจากคอมพิวเตอร์ ไม่ว่าจะเป็นโปรแกรมที่ไม่จำเป็น, กำจัดไวรัส, ลบไฟล์ หรือรีจิสตรี้ขยะ, ซ่อมแซมฮาร์ดดิสก์ และรีจิสตรี้เออเรอร์ เป็นต้น