ตรวจสอบDomain
ตรวจสอบDomain เมื่อได้ล็อกออนเข้าสู่โดเมน siam2019.com แล้ว ลองทำการตรวจสอบการเป็น Additional Domain Controller โดยไปที่หน้าต่าง Server Manager เลือกแท็บ Local Server สังเกตชื่อเครื่อง Penguin77 ได้อยู่ในโดเมน siam2019.com
เปิดเครื่องมือ Active Directory Users and Computers มาที่คอนเทนเนอร์ Domain Controller จะเห็นว่ามีเครื่องมือที่เป็น Domain Controller อยู่ 2 เครื่องคือ Capricorn และ Penguin77 มี DC Type เป็น GC และในหน้าจอ PowerShell ให้พิมพ์คำสั่ง nbtstat –n จะแสดงรายชื่อเครื่องที่ลงทะเบียนในระบบ
การติดตั้ง Primary Domain Controller บน Server Core
เป็นวิธีสร้างความปลอดภัยและป้องกันการโจมตีโดเมนคอนโทรลเลอร์ โดยการใช้โหมด Server Core ซึ่งเป็นระบบปฏิบัติการรูปแบบใหม่ที่มีตั้งแต่ Windows Server 2008 เพราะ Server Core ไม่มี Graphic Mode ที่เพิ่มภาระในการประมวลผล ไม่ติดตั้งระบบ Component, Binary, Services ต่างๆ ที่ไม่จำเป็น ทำให้ Server Core ถูกโจมตีจากแฮกเกอร์ได้น้อยมาก แต่ก็มีข้อจำกัดคือ ไม่สามารถทำงานกับ Roles ได้ทุกตัว
รู้จัก Unattend Installation
เป็นการติดตั้ง Windows Server หรือส่วนการทำงานต่างๆ โดยกำหนดข้อมูลคำตอบเอาไว้ล่วงหน้า ทำให้ไม่ต้องรอการกรอกข้อมูลจากยูสเซอร์ เราจะติดตั้งโดเมนคอนโทรลเลอร์แบบ Unattend ด้วยคำสั่ง DCPROMO ร่วมกับสคริปต์ไฟล์ออพชัน /unattend:filename ไฟล์ Unattend นี้จะเป็นเท็กซ์ไฟล์ธรรมดาที่เก็บคำสั่งและคำตอบในการติดตั้ง Active Directory ปกติแล้วไฟล์ unattend เป็นแบบ Case Insensitive คือ ไม่สนใจตัวอักษรพิมพ์ใหญ่ – พิมพ์เล็ก ยกเว้นรหัสผ่านเท่านั้น ในไฟล์ Unattend จะมีส่วน (Section) ของ [DCInstall] สำหรับกำหนดรูปแบบในการติดตั้ง Active Directory
วางแผนการติดตั้งโดเมนคอนโทรลเลอร์ในแบบ Unattend Installation
– ต้องการให้เป็นโดเมนคอนโทรลเลอร์ตัวแรก (New Domain) ของระบบ หรือเป็นโดเมนเสริมการทำงาน (Replica Domain)
– โดเมนมีชื่อว่าอะไร มีความสัมพันธ์ (Trust) กับฟอเรสต์เดิม (Join to Forest) หรือไม่ หรือสร้างเป็นฟอเรสต์ใหม่ (New Forest)
– ใช้โฟลเดอร์ใดในการเก็บไฟล์ฐานข้อมูลของ Active Directory ที่ชื่อ NTDS.dit ไฟล์ทรานเซกชัน ล็อก รวมทั้งโฟลเดอร์ Sysvol
– สิทธิ์ของยูสเซอร์ในการสร้างโดเมนคอนโทรลเลอร์ ถ้าเป็นการติดตั้งโดเมนคอนโทรลเลอร์ตัวแรก (New Domain) จะต้องใช้ยูสเซอร์ Local Administrator แต่ถ้าติดตั้งโดเมนคอนโทรลเลอร์ใหม่ภายใต้โดเมนเดิม (Exist Forest) ต้องใช้ยูสเซอร์ที่เป็นประเภท Enterprise Admin Group
