คอมพิวเตอร์

กำหนดนโยบายรหัสผ่าน Password-policy

กำหนดนโยบายรหัสผ่าน Password-policy เป็นนโยบายการกำหนดรหัสผ่าน ได้แก่ ความยาวของรหัสผ่าน อายุของรหัสผ่าน และห้ามไม่ให้รหัสผ่านใหม่ซ้ำกับรหัสผ่านเก่า เป็นต้น การกำหนดค่าให้ไปที่หน้าต่าง Group Policy Management Editor เลือก Computer Configuration > Policies > Windows Setting > Security Setting > Account Policies > Password Policy ในหน้าจอด้านขวาจะมีนโยบายให้กำหนด ดังนี้

เนื้อหาแสดงนโยบายการกำหนดรหัสผ่าน

(นโยบาย : คุณสมบัติ)

Enforce password history : ไม่ให้รหัสผ่านใหม่ซ้ำกับรหัสผ่านเก่า โดยจะจำรหัสผ่านเก่าไว้ตามจำนวนที่ให้กำหนด ดีฟอลต์เท่ากับ 24 ครั้ง

Maximum password age : อายุสูงสุดของรหัสผ่านก่อนจะถูกบังคับให้เปลี่ยนรหัสผ่านใหม่ มีค่าระหว่าง 1 – 999 วัน หรือ 0 คือ ไม่มีวันหมดอายุ

Minimum password age : อายุต่ำสุดของรหัสผ่านก่อนจะถูกบังคับให้เปลี่ยนรหัสผ่าน ต้องน้อยกว่าอายุสูงสุดของรหัสผ่าน ถ้าอายุสูงสุดเท่ากับ 0 ต้องตั้งค่าอายุต่ำสุดระหว่าง 0 – 998 วัน

Minimum password length : ความยาวน้อยที่สุดของรหัสผ่าน มีค่าระหว่าง 1 – 14 ตัวอักษร หรือถ้าไม่ระบุจำนวนให้ใส่ค่า 0

Password must meet complexity requirements : รหัสผ่านที่ต้องมีความซับซ้อน คือประกอบด้วยตัวเลข (0 – 9) ตัวอักษรพิมพ์ใหญ่ (A – Z) และพิมพ์เล็ก (a – z) รวมทั้งไม่ให้เหมือนกับชื่อแอคเคานต์

Store password using reversible encryption : กำหนดให้ระบบปฏิบัติการเก็บรหัสผ่านโดยเข้ารหัสแบบย้อนกลับ (ค่าดีฟอลต์ คือ Disabled)

กำหนดการล็อกยูสเซอร์แอคเคานต์

เป็นระบบความปลอดภัยเพื่อป้องกันการพยายามล็อกออนโดยผู้ไม่ประสงค์ดี ซึ่งหากพิมพ์รหัสผ่านเข้ามาผิดพลาดหลายครั้ง ระบบจะล็อกยูสเซอร์แอคเคานต์นี้อัตโนมัติ การกำหนดค่าให้ไปที่หน้าต่าง Group Policy Management Editor เลือก Computer Configuration > Policies > Windows Setting > Security Setting > Account Policies > Account Lockout Policy ในหน้าจอด้านขวาจะมีนโยบายให้กำหนด ดังนี้

(นโยบาย : ความหมาย)

 Account lockout duration : ระยะเวลาที่ยูสเซอร์แอคเคานต์ถูกล็อก มีค่าระหว่าง 1 – 99,999 นาที (ค่า 0 ต้องให้ผู้ดูแลระบบเท่านั้นจึงจะปลดล็อกได้)

Account lockout threshold : จำนวนครั้งที่อนุญาตให้ยูสเซอร์พิมพ์รหัสผ่านผิดได้ก่อนจะถูกเลือกยูสเซอร์แอคเคานต์

Reset account lockout counter after : ยกเลิกการล็อกแอคเคานต์หลังจากถูกล็อกผ่านไปตามจำนวนเวลาที่กำหนด

สนับสนุนโดย แทงมวยสด

ความรู้เรื่องคอมพิวเตอร์เบื้องต้น Computer-knowledge ตรวจดูเรคอร์ด SOA

ความรู้เรื่องคอมพิวเตอร์เบื้องต้น Computer-knowledge แท็บ Start of Authority (SOA) แสดงเรคอร์ดที่ใช้กำหนดชื่อเครื่อง DNS Server ที่รับผิดชอบโซน มีค่าพารามิเตอร์ต่างๆ ดังนี้

– Serial Number เป็นเลขจำนวนการแก้ไขข้อมูลในโซน เป็นมาตรฐานการนับของ Primary zone ซึ่ง Secondary zone จะเปรียบเทียบกับจำนวนของมัน ถ้าไม่ตรงกันก็จะทำการขอ Zone Transfer ในที่นี้เป็นเลข 670 (ส่วน Active Directory Integrated zone จะทำการเรพลิเคตโซนร่วมกับ Active Directory โดยการเช็ก Serial Number)

– Primary server ชื่อเครื่อง Primary server (ส่วน Active Directory Integrated zone จะเป็นเครื่องโดเมนคอนโทรลเลอร์ทุกเครื่องที่เป็น Active Directory Integrated zone)

– Responsible person อีเมลแอดเดรสผู้รับผิดชอบดูแลโซน คั่นชื่อด้วย . แทน @

– Refresh interval เป็นระยะเวลาที่เครื่อง Secondary server รอก่อนที่จะพยายามตรวจสอบการเปลี่ยนแปลงข้อมูลโซนในเครื่อง Primary Server (ในที่นี้คือทุกๆ 15 นาที)

– Retry Interval ระยะเวลาที่เครื่อง Secondary server ควรรอก่อนที่จะพยายามทำ Zone Transfer อีกครั้งหลังจากที่ทำล้มเหลวไป (ต้องมีค่าน้อยกว่า refresh ในที่นี้คือ 10 นาที)

– Expires after เป็นระยะเวลาการหมดอายุของโซน กรณีที่ไมม่สามารถติดต่อเพื่อขอรีเฟรชข้อมูลกับ Primary master ได้ (ค่าเริ่มต้นเป็น 1 วัน หรือ 76400 วินาที)

– Minimum TTL เป็นระยะเวลาการเก็บเรคอร์ดเอาไว้ (ค่าเริ่มต้นเป็น 1 ชั่วโมง)

กรณีที่ภายในหน่วยงานยังมีแอพพลิเคชันโปรแกรมจำนวนมมากที่ยังรันอยู่บน NetBIOS API และรันบน Windows NT Server 4.0 ก็ยังจะต้องใช้งาน WINS (Windows Internet Name Service) ซึ่งเป็นระบบการแมปชื่อแบบ NetBIOS (ที่รันบน NetBIOS API) มาเป็นไอพีแอดเดรสเพื่อให้สามารถใช้งานโปรโตคอล TCP/IP ได้ เราสามารถจะกำหนดให้ DNS ทำงานร่วมกับ WINS ได้ โดยเลือก User WINS forward lookup แล้วใส่เลขไอพีแอดเดรสของเครื่อง WINS Server ลงไป

การเปลี่ยนประเภทโซน

นอกจากนั้นเรายังสามารถจะเปลี่ยนแปลงประเภทโซน (Zone Type) ที่เคยกำหนดเอาไว้ครั้งแรกโดยไปที่หน้าต่าง Properties ของโซน และทำตามขั้นตอนดังนี้

• ที่แท็บ General หัวข้อ Type ให้คลิกปุ่ม Change
• แสดงหน้าต่าง Change Zone Type โดยจะมีโซนอยู่ 4 ประเภท (ของเดิมเป็น Primary zone และ Store the zone in Active Directory) ให้เลือกประเภทโซนที่ต้องการ และคลิกปุ่ม OK เป็นอันเสร็จสิ้น

ขอขอบคุณข้อมูลดีๆจาก แทงบอลออนไลน์ ฝากขั้นต่ำ 100

การติดตั้ง DHCP Server-Role

การติดตั้ง DHCP Server-Role ในตอนต้นเราได้ พร้อมกับ ADDS และ DNS Server เรียบร้อยแล้ว แต่กรณีที่ต้องการติดตั้ง DHCP Server ใช้งานบนเซิร์ฟเวอร์เครื่องอื่น ให้ทำตามขั้นตอนดังนี้

1. ในหน้าต่าง Server Manager ให้เลือกคำสั่ง Manager>Add Roles and Features
2. ที่แท็บ Before You Begin ให้คลิกปุ่ม Next
3. ที่แท็บ Installation type ให้เลือก Role – based or feature – based installation จากนั้นคลิกปุ่ม Next
4. ที่แท็บ Server Selection เลือก Select a server from the server pool จากนั้นให้เลือกชื่อเซิร์ฟเวอร์ที่ต้องการติดตั้ง DHCP Server และคลิกปุ่ม Next
5. ที่แท็บ Server Roles ให้เลือก DHCP Server
6. ปรากฏหน้าต่าง Add Role and Features Wizard ให้คลิกปุ่ม Add Features
7. กลับมาที่แท็บ Server Roles จะแสดงการเลือก DHCP Server จากนั้นคลิกปุ่ม Next
8. ที่แท็บ Features ให้คลิกปุ่ม Next
9. ที่แท็บ DHCP Server แสดงหน้าที่และคุณสมบัติของ DHCP Server ให้คลิกปุ่ม Next
10. ที่แท็บ Confirmation จะแสดง Role และ Feature ที่จะติดตั้ง จากนั้นคลิกปุ่ม Install
11. ที่แท็บ Results จะแสดงสถานการณ์ติดตั้ง ให้รอจนจบ และคลิกปุ่ม Close ปิดหน้าต่าง

การกำหนดค่าใช้งาน  DHCP

หลังจากที่ได้ติดตั้ง DHCP Server เสร็จเรียบร้อยแล้ว จะแสดงไอคอน [Configuration] บน Server Manager เพื่อให้เรากำหนดค่า DHCP เพิ่มเติม ดังนี้

1. ที่ Server Manager คลิกที่ไอคอน [Configuration] และเลือกคำสั่ง Complete DHCP configuration ปรากฏหน้าต่าง DHCP Post – Install Configuration wizard
2. ที่แท็บ Description แสดงรายละเอียดในการติดตั้ง DHCP ให้คลิกปุ่ม Next
3. ที่แท็บ Authorization เป็นการขออำนาจให้ DHCP Server แจกไอพีแอดเดรสให้เครื่องต่างๆ ที่อยู่ในการดูแลของ AD DS โดยเลือก Use the following user’s credentials และระบุบัญชีผู้ดูแลระบบที่ใช้สิทธิ์ดำเนินการ จากนั้นคลิกปุ่ม Commit (สำหรับ DHCP Server ที่ติดตั้งใช้งานบนโดเมนคอนโทรลเลอร์ ซึ่งจะต้องทำงานร่วมกับ AD DS)
4. ที่แท็บ Summary จะแสดงสถานการณ์กำหนดค่า DHCP Server ว่าเรียบร้อยแล้ว ให้คลิก Close เพื่อปิดหน้าต่าง

การกำหนดสโคป

สโคป (Scope) คือช่วงของไอพีแอดเดรสที่กำหนดไว้ให้ DHCP Server ทราบว่าจะต้องแจกจ่างไอพีแอดเดรสตั้งแต่หมายเลขใดถึงหมายเลขใดให้กับไคลเอนต์ในเครือข่าย ในตัวอย่างจะใช้ช่วงไอพีแอดเดรสตั้งแต่ 192.168.70 – 192.168.1.250 เราสามารถกำหนดสโคปได้ดังนี้

1. ที่หน้าต่าง Server Manager ให้เลือกคำสั่ง Tools>DHCP
2. จะปรากฏหน้าต่าง DHCP ไปที่ DHCP>เซิร์ฟเวอร์>IPv4 จากนั้นคลิกขวาที่ IPv4 และเลือกคำสั่ง New Scope
3. ปรากฏหน้าต่าง New Scope Wizard ให้คลิกปุ่ม Next
4. ที่หน้า Scope Name เป็นการใส่ชื่อของสโคป จากนั้นคลิกปุ่ม Next

Domain-Tree ทรี (Tree) หมายถึงกรุ๊ปโดเมนบน Windows Server

Domain-Tree ซึ่งมี Name space ที่ต่อเนื่องกัน และอยู่ภายใต้ทรีเดียวกัน เช่น ในโครงสร้าง AD มีโดเมนชื่อ siam2019.com โดยมีโดเมนย่อยชื่อ cm.siam2019.com และ bkk.siam2019.com นอกจากนี้ยังมีแผนกย่อย sale.bkk.siam2019.com อีกด้วย แสดงให้เห็นว่าเป็นการจัดโครงสร้างลำดับชั้น (Hierarchical) ภายใต้ Name space เดียวกัน (Contiguous DNS namespace) เรียกง่ายๆ คือ โดเมนหลัก (Parent Domain) + Child Domain หมายถึง 1 ทรี แต่ถ้ามีการขยายกิจการใหม่ จะต้องตั้งชื่อกิจการใหม่ไม่ให้เหมือนเดิม โดยติดตั้งโดเมนสำหรับกิจการใหม่นี้ว่า riverside.com ก็จะกลายเป็นอีก 1 ทรี

ดังนั้นการติดตั้งโดเมนคอนโทรลเลอร์แบบ Domain Tree ก็คือ การกำหนดโดเมนคอนโทรลเลอร์เข้ามาดูแลทรัพยากรภายใต้ทรีใหม่และใช้โดเมนใหม่ riverside.com โดยเชื่อมต่อกับทรีที่เป็นโดเมนหลัก คือ siam2019.com รวมอยู่เป็นฟอเรสต์เดียวกัน

มีการ Trust กันระหว่างโดเมน เรียกว่า Tree Root Trust หรือเรียกว่า Two – Way Trust (Transitive Trust) และไม่มีการ Share Contiguous DNS namespace แต่ถ้าเป็นการ Trust กันภายในโดเมนเดียวกัน เช่น siam2019.com กับ bkk.siam2019.com จะเป็นการ Trust แบบ Parent – Child Trust ผู้ดูแลระบบของโดเมน siam2019.com จะมีสิทธิ์ในระดับ Enterprise Admin Groups ที่สามารถจะควบคุมแก้ไข – ปรับแต่งค่าต่างๆ บน Child Domain และ Domain Tree ได้อีกด้วย

ในตัวอย่างเราจะติดตั้งโดเมนคอนโทรลเลอร์ดูแลทรีโดยใช้โดเมนใหม่ riverside.com และเชื่อมต่อร่วมกับฟอเรสต์ภายใต้โดเมนหลัก siam2019.com เริ่มต้นให้เราติดตั้ง Server Role ชื่อ Active Directory Domain Service ให้เรียบร้อย

จากนั้นก็รีสตาร์ทเครื่องและทำตามขั้นตอนดังนี้

1. หน้าต่าง Server Manager ให้คลิกที่เครื่องหมาย Link และเลือก Promote this server to a domain controller
2. ที่แท็บ Deployment Configuration เลือกการติดตั้งแบบ Add a new domain to an existing forest เพื่อเพิ่มโดเมนใหม่ในฟอเรสต์เดิมที่มีอยู่แล้ว
3. เลือกชนิดโดเมนเป็น Tree Domain
4. ระบุชื่อโดเมนหลักและโดเมนเนมใหม่
5. คลิก Change ระบุผู้มีสิทธิ์จัดการโดเมน
6. พิมพ์ ชื่อโดเมนหลัก \Administrator และรหัสผ่าน จากนั้นคลิกปุ่ม OK
7. กลับมาที่แท็บ Deployment Configuration แสดง ชื่อโดเมนหลัก ชื่อโดเมนใหม่ และชื่อผู้จัดการระบบ จากนั้นคลิกปุ่ม next
8. ที่แท็บ Domain Controller Options ใส่รหัสผ่านของ Directory Services Restore Mode จากนั้นคลิกปุ่ม Next
9. ที่แท็บ DNS Options แจ้งการสร้าง DNS delegation อัตโนมัติและชื่อผู้ใช้ในการสร้าง จากนั้นคลิกปุ่ม Next
10. ที่แท็บ Additional Options แสดงชื่อโดเมนแบบ NetBIOS domain name จากนั้นคลิกปุ่ม Next
11. ที่แท็บ Paths แสดงพาธที่เก็บฐานข้อมูล AD DS, ไฟล์ Log และ SYSVOL จากนั้นคลิกปุ่ม Next
12. ที่แท็บ Review Options แสดงข้อมูลการติดตั้งทั้งหมด จากนั้นคลิกปุ่ม Next
13. ที่แท็บ Prerequisites Check แจ้งการตรวจสอบความถูกต้องที่กำหนดไว้ จากนั้นคลิกปุ่ม Install
14. เมื่อติดตั้งเสร็จระบบจะทำการรีสตาร์ทเครื่อง
15. หน้า Lock screen แสดงการล็อกออนเข้าสู่ Domain Tree

ตรวจสอบDomain

ตรวจสอบDomain เมื่อได้ล็อกออนเข้าสู่โดเมน siam2019.com แล้ว ลองทำการตรวจสอบการเป็น Additional Domain Controller โดยไปที่หน้าต่าง Server Manager เลือกแท็บ Local Server สังเกตชื่อเครื่อง Penguin77 ได้อยู่ในโดเมน siam2019.com

เปิดเครื่องมือ Active Directory Users and Computers มาที่คอนเทนเนอร์ Domain Controller จะเห็นว่ามีเครื่องมือที่เป็น Domain Controller อยู่ 2 เครื่องคือ Capricorn และ Penguin77 มี DC Type เป็น GC และในหน้าจอ PowerShell ให้พิมพ์คำสั่ง nbtstat –n จะแสดงรายชื่อเครื่องที่ลงทะเบียนในระบบ

การติดตั้ง Primary Domain Controller บน Server Core

เป็นวิธีสร้างความปลอดภัยและป้องกันการโจมตีโดเมนคอนโทรลเลอร์ โดยการใช้โหมด Server Core ซึ่งเป็นระบบปฏิบัติการรูปแบบใหม่ที่มีตั้งแต่ Windows Server 2008 เพราะ Server Core ไม่มี Graphic Mode ที่เพิ่มภาระในการประมวลผล ไม่ติดตั้งระบบ Component, Binary, Services ต่างๆ ที่ไม่จำเป็น ทำให้ Server Core ถูกโจมตีจากแฮกเกอร์ได้น้อยมาก แต่ก็มีข้อจำกัดคือ ไม่สามารถทำงานกับ Roles ได้ทุกตัว

รู้จัก Unattend Installation

เป็นการติดตั้ง Windows Server หรือส่วนการทำงานต่างๆ โดยกำหนดข้อมูลคำตอบเอาไว้ล่วงหน้า ทำให้ไม่ต้องรอการกรอกข้อมูลจากยูสเซอร์ เราจะติดตั้งโดเมนคอนโทรลเลอร์แบบ Unattend ด้วยคำสั่ง DCPROMO ร่วมกับสคริปต์ไฟล์ออพชัน /unattend:filename ไฟล์ Unattend นี้จะเป็นเท็กซ์ไฟล์ธรรมดาที่เก็บคำสั่งและคำตอบในการติดตั้ง Active Directory ปกติแล้วไฟล์ unattend เป็นแบบ Case Insensitive คือ ไม่สนใจตัวอักษรพิมพ์ใหญ่ – พิมพ์เล็ก ยกเว้นรหัสผ่านเท่านั้น ในไฟล์ Unattend จะมีส่วน (Section) ของ [DCInstall] สำหรับกำหนดรูปแบบในการติดตั้ง Active Directory

วางแผนการติดตั้งโดเมนคอนโทรลเลอร์ในแบบ Unattend Installation

– ต้องการให้เป็นโดเมนคอนโทรลเลอร์ตัวแรก (New Domain) ของระบบ หรือเป็นโดเมนเสริมการทำงาน (Replica Domain)

– โดเมนมีชื่อว่าอะไร มีความสัมพันธ์ (Trust) กับฟอเรสต์เดิม (Join to Forest) หรือไม่ หรือสร้างเป็นฟอเรสต์ใหม่ (New Forest)

– ใช้โฟลเดอร์ใดในการเก็บไฟล์ฐานข้อมูลของ Active Directory ที่ชื่อ NTDS.dit ไฟล์ทรานเซกชัน ล็อก รวมทั้งโฟลเดอร์ Sysvol

– สิทธิ์ของยูสเซอร์ในการสร้างโดเมนคอนโทรลเลอร์ ถ้าเป็นการติดตั้งโดเมนคอนโทรลเลอร์ตัวแรก (New Domain) จะต้องใช้ยูสเซอร์ Local Administrator แต่ถ้าติดตั้งโดเมนคอนโทรลเลอร์ใหม่ภายใต้โดเมนเดิม (Exist Forest) ต้องใช้ยูสเซอร์ที่เป็นประเภท Enterprise Admin Group