หลักสูตร Advanced Admnistrative Windows Server 2003 หนาที่ 1 บทที่ 1 แนะนํา Active Directory ในบทนี้จะกลาวถึงสิ่งตางๆดังนี้ - ภาพรวม Active Directory - เขาใจเกี่ยวกับแนวคิด Active Directory - การวางแผนการออกแบบ Active Directory 1.1 ภาพรวม Active Directory ผูเรียนจะเขาใจสิ่งตางๆดังนี้ - เขาใจเกี่ยวกับ Directory Services - ทําไมตองมี Directory Services - Windows Server 2003 Directory Service - ออปเจคของ Active Directory - สวนประกอบ Active Directory - Catalog Services เขาใจเกี่ยวกับ Directory Services วิวัฒนาการของ Directory Services Main Frame ราคาหลายรอยลาน > Mini Computer (RISC6000, Alpha) ราคาหลายสิบลาน > PC base เชน Novell Netware ตนทุกลดลง > Windows/Unix แนวความคิดโดเมน > Hierarchy ในมาตรฐานคือ Kerberos (MIT), LDAP (มาตรฐาน Unix), NDS: Netware Directory Services สําหรับ Microsoft ก็รอจังหวะจนป 1999 ไดผลิตผลิตภัณฑ Windows 2000 รองรับ Active Directory เริ่มจาก Main Frame สมุดรายชื่ออยูที่เดียว มีเครื่องทํางานที่เดียว แตภายในประกอบดวยสวนประมวลผลตางๆ มากมาย เครื่องลูกขาย Terminal Novell Netware ในเวอรชั่น 2.x>3.x มีการบริหารงานเปนแบบ Binary เครื่อง Server แยกฐานขอมูลจากกัน UNIX เดิมยังมีการแยกฐานขอมูลรายชื่อจากกัน การนําเครื่อง Server จํานวนมากมาใชรายชื่อรวมกัน นี่คือโดเมน Centralize Dir. > Separate Dir. > Group Dir. > Group & Hierarchy dir. > Single Sign on (SSN) RADIUS, LDAP สามารถพัฒนาเปน Single sign on Directory เปนที่เก็บขอมูลของออปเจค ตัวอยางเชน e-mail address book ที่เก็บของ User หรือที่อยูกับผูติดตอทาง e- mail
279
Embed
หลัูกส Advanced Admnistrative Windows Server 2003 ตร · หลัูกส Advanced Admnistrative Windows Server 2003 ตร หน ี่2าท ในระบบ
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 1
บทที่ 1 แนะนํา Active Directory ในบทนี้จะกลาวถึงสิ่งตางๆดังนี้
- ภาพรวม Active Directory - เขาใจเกี่ยวกับแนวคิด Active Directory - การวางแผนการออกแบบ Active Directory
1.1 ภาพรวม Active Directory ผูเรียนจะเขาใจสิ่งตางๆดังนี้
- เขาใจเกี่ยวกับ Directory Services - ทําไมตองมี Directory Services - Windows Server 2003 Directory Service - ออปเจคของ Active Directory - สวนประกอบ Active Directory - Catalog Services
เขาใจเกี่ยวกับ Directory Services วิวัฒนาการของ Directory Services Main Frame ราคาหลายรอยลาน > Mini Computer (RISC6000, Alpha) ราคาหลายสิบลาน > PC base เชน Novell Netware ตนทุกลดลง > Windows/Unix แนวความคิดโดเมน > Hierarchy ในมาตรฐานคือ Kerberos (MIT), LDAP (มาตรฐาน Unix), NDS: Netware Directory Services สําหรับ Microsoft ก็รอจังหวะจนป 1999 ไดผลิตผลิตภัณฑ Windows 2000 รองรับ Active Directory เริ่มจาก Main Frame สมุดรายช่ืออยูที่เดียว มีเครื่องทํางานที่เดียว แตภายในประกอบดวยสวนประมวลผลตางๆมากมาย เครื่องลูกขาย Terminal Novell Netware ในเวอรช่ัน 2.x>3.x มีการบริหารงานเปนแบบ Binary เครื่อง Server แยกฐานขอมูลจากกัน UNIX เดิมยังมีการแยกฐานขอมูลรายช่ือจากกัน การนําเครื่อง Server จํานวนมากมาใชรายช่ือรวมกัน นี่คือโดเมน Centralize Dir. > Separate Dir. > Group Dir. > Group & Hierarchy dir. > Single Sign on (SSN) RADIUS, LDAP สามารถพัฒนาเปน Single sign on Directory เปนที่เก็บขอมูลของออปเจค ตัวอยางเชน e-mail address book ที่เก็บของ User หรือที่อยูกับผูติดตอทาง e-mail
หลักสูตร Advanced Admnistrative Windows Server 2003
1. Microsoft ใชแนวคิดที่เรียกวา Global Catalog มาใช 2. Microsoft ใช Group Policy มาบอกวาทําไมตองเปน Hierachy
Windows Server 2003 Directory Service เปนระบบบัญชีรายช่ือที่เรียกวา Active Directory ซึ่งเก็บขอมูลตางๆของทรัพยากร ซึ่งสามารถเรียกใช และรองรับใน Windows 2000 ดวย
ภาพแสดงแนวคิดเกี่ยวกับ NT domain จะพบวาเครื่องหน่ึงโดเมนอาจจะมีหลาย Server ที่รองรับฐานขอมูล เครื่องที่ไดรับฐานขอมูลจากเครื่องหลัก (PDC) จะเรียกวา Backup Domain Controller ผูใชสามารถล็อกออนจากเครื่องไหนก็ได ปญหาอยูทีวาถาองคกรตองมีหลายโดเมนจะเปนอยางไร? ผูออกแบบตองระบุการ Trust กัน
Logon
ระบุช่ือ และรหัสผาน
Authentication
PDC BDCMember server
Local SAMทุกๆ 2 นาที หรือบังคับซิงค
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 4
ภาพของการ Trust ใน Windows NT domain ผูใชสามารถที่เลือกล็อกออนในโดเมน Domain1 หรือ Domain2 ได แตในชองล็อกออนถาเขาระบุโดเมนระบบจะตรวจสอบ PDC ใน Domain1 กอนเมื่อไมพบจึงไปตรวจสอบในโดเมนสอง จะเสียเวลา และ PDC Domain1 และ Domain2 หามเดี้ยง ถาเดี้ยงการทรัสตสองโดเมนตรวจสอบไมได ทําใหระบบงานใหญไปใชกับองคกรจริงๆได ปญหาของ Windows NT Domain
1. หนึ่งโดเมนรองรับไดเพียง 40,000 เรคคอรด ประกอบดวย Group กับ user 2. ถาเกิน 40,000 เรคคอรดตองแยกโดเมน 3. ล็อกออนชาเนื่องจากถา User อยูตางโดเมนจะตองตรวจสอบทีละโดเมน เชนมี 4 โดเมนล็อกออนผูใชใน
ในระบบปฏิบัติการที่รองรับ Active Directory แกปญหาตางๆเหลานี้เรียบรอยแลว ฟเจอร Active Directory ของ Windows Server 2003 ที่มีความสามารถเพิ่มขึ้นจาก Windows NT Domain เดิม
ภาพดานแสดงถึงออปเจคตางๆมีคุณสมบัติที่แตกตางกัน แตพบวา Jane doe อาจจะล็อกออนบนเครื่อง Comp3 หมายถึงเราถูกควบคุมทั้งคอมพิวเตอร และผูใช โดยดีฟอลทเครื่องคอมพิวเตอรตางๆจะอยูในโฟลเดอร Computers ถาไมมีการยายจะถูกควบคุมในระดับโดเมนเทานั้น แตถามีการยายเครื่องไปไวในที่ OU ที่ถูกควบคุมก็จะมีผลตามตําแหนงของ OU ที่ไปอยู ออปเจคที่เปนที่จัดเก็บเรียกวา Organizational Unit (OU) สวนออปเจคอื่นๆก็จะเก็บในที่จัดเก็บ หรือโฟลเดอร
หลักสูตร Advanced Admnistrative Windows Server 2003
- Single Domain คือมีเพียงหนึ่งโดเมน - Single Domain Tree มีโดเมนแม และโดเมนลูก - Multiple domain tree, Single Forest มีโดเมนแมมากกวาหนึ่งโดเมน - Multiple Forest คือหนึ่งโดเมน หลายๆโดเมนมาทําการ Trust กัน
รูปแสดงการออกแบบโดเมนทั้ง 4 แบบของ Active Directory พบวาแบงที่ 1-3 เปน Single Forest ทั้งหมด ยกเวนแบบที่ 4 เปน Multiple Forest รูปนี้เปน Multiple domaintree, Single Forest ระดับภายในโดเมน โครงสรางจัดโดย OU ดังรูปที่เห็น Logical Structure เปนการออกแบบตามหลักการณที่ตองการในการจัดใหสอดคลองกับโครงสรางองคกร ใหเขาใช หรือจัดกลุมการเขาใชไดงาย แบงการออกแบบเปน
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 8
- Domains เปนโครงสราง Logical ที่กําหนดกลุมขึ้นมาเพื่อใหสื่อสารในเครือขาย โดยภายในจะประกอบดวยเครื่องที่ดูแลโดเมนเรียกวา Domain Controller และเปนการเก็บขอมูล และควบคุมการเขาใชทรัพยากรในขอบเขตที่กําหนดเรียกวา Access Control List (ACLs) ซึ่งถูกออกแบบมาใน Windows NT Domain จน Windows 2000 และ Windows Server 2003 ซึ่งโหมดของโดเมนแบงเปน 4 โหมด คือ Windows 2000 (mixed), Windows 2000 native, Windows Server 2003 Interim, และ Windows 2003
Windows 2000 (Mixed) เปนคาดีฟอลทที่กําหนด ซึ่งสามารถทํางานรวมกับ Windows NT Domain, Windows 2000, หรือตระกูล Windows Server 2003 ไดในโดเมนเดียวกัน
Windows 2000 Native เปนการทํางานรวมกันระหวาง Windows 2000 กับ Windows Server 2003
Windows Server 2003 Interim เปนการทํางานรวมกับ Windows NT หรือ Windows Server 2003
Windows Server 2003 เปนบทบาทที่เครื่อง Domain controller ทํางานเฉพาะตระกูล Windows Server 2003
NT Server 2000 Server 2003 Server
2000 Server 2003 Server
NT Server 2003 Server
2000 Server 2003 Server
หลักสูตร Advanced Admnistrative Windows Server 2003
- Trees เปนกลุม หรือลําดับช้ันของโดเมนใน Windows Server 2003 โดยทั้งหมดจะมีโครงสรางตอเนื่องใน
ช่ือที่กําหนดเดียวกัน - Forests เปนกลุมลําดับช้ันที่ใชจัดแบง ช่ือที่กําหนด หรือ Domain trees ออกจากัน โดยมีคุณลักษณะดังนี้
o ทุกโดเมนใน Forest แชร Schema รวมกัน (มี Attributes เหมือนกัน และเทากัน) o ทุกโดเมนใน Forest แชร Global Catalog กัน o ทุกโดเมนใน Forest มีการทรัสตแบบ Implicit two-way transitive o ทรีในฟอเรสตจะมีโครงสรางชื่อที่แตกตางกัน เชน Nectec.com, Nectec.or.th อยูในฟอเรสต
เดียวกันได o โดเมนในฟอเรสตจะทํางานอิสระจากกัน แตจะมีการสื่อสารขามกันไดในองคกรโดยอัตโนมัติ
ภาพแสดงถึงรูปแบบ Single Forest ในการแยก Domain Tree จากกัน คําอธิบาย เครื่องที่อยูในโดเมนใดๆสามารถล็อกออนดวยผูใชในโดเมนใดๆนี้ได อาศัย Global Catalog เดียวกัน Physical Structure
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 10
เปนการออกแบบ Active Directory โดยพิจารณาดานกายภาพ การเชื่อมตอจริง ซึ่งจะแบงการออกแบบตาม Site และ Domain Controller
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 12
พนักงานตองการเขาไปใช Server ที่ตนเองอยูไมตองระบุโดเมน\OUs\ช่ือที่ใช บอกเพียงแคช่ือล็อกออนใหกับผูตรวจสอบเทานั้น ผูตรวจสอบจะมีสมุดรายช่ือของบุคคลๆตางๆเรียงตามช่ือที่ล็อกออน แลวไปแม็บกับตําแหนงออปเจคที่อยู และเครื่อง Server ที่บุคคลนั้นเปนสมาชิกอยู ทําใหผูใชใชงานไดงาย
ภาพแสดงถึงการทํางานของ Global Catalog
คําอธิบาย
– ตรวจสอบจาก DNS เพื่อหา Global Catalog
– DNS สงกลับเปน IP Address และระบุเครื่อง Domain Controller ที่ผูใชตองการล็อกออน
– ลูกขายคนหาโดยใชหมายเลข IP Address ที่ไดรับที่ Port 3269 บน Domain Controller และ Active Directory จะสงคําคนที่พอรต 389 (LDAP Port)
– Global catalog server จะทําการคนหา และสงขอมูลที่เก็บใหกับผูใช ถาองคกรมีการตั้ง Global Catalog มากกวาหนึ่งเครื่อง ระบบจะทําการแลกเปลี่ยนรายชื่อใหเอง แตทั้งหมดตองอยูใน Forest เดียวกัน ดังนั้นองคกรมีรายช่ือทั้งหมด 500 ในโดเมนที่ 1 และ 500 ในโดเมนที่ 2 เครื่องที่เปน Global Catalog ในองคกรก็จะมีออปเจคตางๆทั้งหมด 1000 ออปเจค เครื่องที่เปน Global Catalog ตองเปนเครื่อง Domain Controller เทานั้น
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 13
1.2 เขาใจเกี่ยวกับแนวคิด Active Directory ผูเรียนจะเขาใจสิ่งตางๆดังนี้
- Replication - Trust Relationships - การบริหารงาน และการจัดการ - Group Policies - DNS - งานบริหาร Active Directory
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 15
InterSite Replication เปนการเรพพลิเคตขอมูลระหวางไซต ซึ่งมีการเชื่อมตอ โดยจะมีหนึ่ง KCC ตอหนึ่งไซต รองรับการกําหนด Transport, Cost of a site link, times และดูลิงคที่ใชวางหรือไม KCC เราเปนผูกําหนดเองจะกี่ฮอบก็ได แตจํานวนฮอบยิ่งเยอะยิ่งเรพพลิเคตชา
Trust Relationships เปนการเช่ือมตอโดเมนระหวางสองโดเมน ซึ่งในตระกูล Windows Server 2003 รองรับโปรโตคอลในการทรัสตสองแบบคือ Kerberos version 5.0 หรือ NT LAN Manager (NTLM)
– External trust เปนการกําหนดทรัสตโดยผูบริหารระบบ ใน Windows Server 2003 Domain ที่ตางฟอเรสตกัน หรือกับ Domain ใน Windows NT Server 4.0 หรือสูงกวา โดยทั้งหมดจะแยกจากฟอเรสตกัน ไมสามารถที่
หลักสูตร Advanced Admnistrative Windows Server 2003
Group Policies เปนการเก็บคาติดต้ังของ User และ Computer ที่สามารถลิงคกับ Computers, Sites, Domains, และ OUs การสรางกําหนดคาติดต้ังจะสรางเปน Group Policy Objects (GPOs) ซึ่งในทุกๆ Windows Server 2003 จะมีหนึ่ง Local GPO (ตรวจสอบโดยพิมพ gpedit.msc ใน Run) และมีการกําหนดใน Active Directory-based หรือที่เรียกวา Non-local GPO
• GPOs กําหนดอยางไร
– Local GPO เปนคาที่มีอยูในเครื่อง Windows 2000/XP/2003
– GPOs linked to sites เปนการกําหนดใหสงผลในเฉพาะไซตนั้นๆ
– GPOs linked to domains
– GPOs linked to OUs
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 18
ภาพนี้แสดงถึงโครงสราง GPO ใน Site/Domain/OU ไมไดแสดงใน Local GPO คําอธิบาย GPO มีการถายทอดมรดก (Inheritant) โดยพิจารณาที่ Site > Domain > OU > Local GPO (ถามี Site, Domain, OU กําหนดอยูจะถูกสั่งใหดําเนินตาม GPO ของ Site/Domain/OU) ทุกเครื่องที่อยูในโดเมน Microsoft.com จะได GPO ที่ไซตคือ A3, ที่โดเมนคือ A1 กับ A2 เครื่อง หรือผูใชที่อยู ServerOU จะได A3, A1, A2, A4 (จาก Resources OU), A6 ไดจาก OU ของ Server เครื่อง หรือผูใชที่อยูใน Marketing จะได A3, A1, A2, A5 (จาก Marketing OU GPO)
• การใช Resultant set of Policy (RSoP) Wizard เปนเครื่องมือที่ทําการวางระบบ และแกปญหา ซึ่งการกําหนดมีสองโหมดคือ Logging กับ Planning ซึ่งคานี้จะดึง Policies ที่มีมาตรวจสอบ และรายงานผลที่ได DNS เปนระบบการแกปญหาชื่อจากหมายเลข IP Address ซึ่งทําใหงายตอการเรียกใช และสามารถปรับเปลี่ยนหมายเลขไดโดยผูใชงานไมไดรับผลกระทบ ซึ่งเปนมาตรฐานที่นิยมใชในเครือขายอินเตอรเน็ต คุณลักษณะของ DNS มีดังนี้
- เปนบริการหนึ่งในมาตรฐาน TCP/IP - Active Directory ใชเปนระบบการหาชื่อใน Domain
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 19
- ช่ือ DNS งายตอการจํามากกวา IP Address - ช่ือ DNS คงที่กวาหมายเลข IP Address - DNS อนุญาตใหตอเช่ือมที่ Local servers เหมือนกับระบบ Internet
ชื่อของออปเจค Active Directory รองรับในบริการรายชื่อกับมาตรฐาน LDAP ซึ่งสามารถที่คนหา LDAP จาก Active Directory Database ไดซึ่งการกําหนดชื่อมีสิ่งที่ควรทราบดังนี้
– Distinguished Name (DN) เปนช่ือที่กําหนดไมซ้ํากันในออปเจค เชน Scott Cooper ทํางานที่โดเมน Microsoft.com จะมี DN เปน CN=Scott Cooper, OU=Promotions, OU=Marketing, DC=Microsoft, DC=Com
– Relative Distinguished Name (RDN) เปนการคนหาคุณสมบัติที่กําหนดซึ่งผูใชไมแนใจใน DN ที่คนหา เรียกวา RDN เชนเราคนหา Scott จาก OU=Promotions เปนตน
รูจักเครื่องมือในการบริหารงานActive Directory ประกอบดวย Active Directory Users and Computers, Active Directory Domains and Trusts, Active Directory Sites and Services เปนตน
การออกแบบ Site Topology เราตองพิจารณา Network Diagram และ IP Subnet เปนหลัง รวมถึงการออกแบบไมใหมีความซ้ําซอน และเวลาที่สงขอมูลเหมาะสมกับความตองการทางธุรกิจ
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 24
บทที่ 2 การติดตั้ง และการกําหนดคาติดต้ัง Active Directory ในบทนี้จะกลาวถึงสิ่งตางๆดังนี้
- การเตรียมตัวติดตั้ง Active Directory - การติดต้ัง และการนํา Active Directory ออก - การตรวจสอบหลังติดต้ัง Active Directory - การแกปญหา Active Directory ที่ติดต้ัง และนําออก
2.1 การเตรียมตัวติดต้ัง Active Directory ผูเรียนจะเขาใจสิ่งตางๆดังนี้ - สิ่งที่จําเปนกอนการติดตั้ง Active Directory - การพิจารณาโครงสราง Domain - ตัวอยางการออกแบบ - การพิจารณาชื่อ Domain - การพิจารณาตําแหนงที่เก็บไฟลฐานขอมูล - การพิจารณาตําแหนงที่เก็บโฟลเดอร Shared System Volume - การพิจารณาวิธีกําหนดคา DNS - การพิจารณาการกําหนดคา DNS สิ่งที่จําเปนกอนการติดต้ัง Active Directory เคร่ือง Windows 2000 Server/Windows Server 2003 โดยดีฟอลทจะเปน Standalone Server ถาตองการที่จะประกาศเปน Domain Controller ตองใชคําสั่ง dcpromo หรือใช Manage your server ในการตั้งเปน Domain Controllers รายละเอียดที่จําเปนมีดังนี้
- ช่ือโครงสรางโดเมน ตองการสอดคลองกับอินเตอรเนต หรือต้ังเอง - ช่ือโดเมน ช่ือที่ตองการ - ที่เก็บของไฟลฐานขอมูล - ตําแหนงของโฟลเดอร Shared system volume - วิธีการกําหนดคาติดตั้ง DNS - การกําหนดคาติดต้ัง DNS
ภาพแสดงถึงตัวอยางการออกแบบ Active Directory คําอธิบาย เราตองสํารวจเครือขายตางๆ และโครงสราง DNS ที่ใช โดยเลือกรูปแบบการออกแบบที่เหมาะสมพิจารณาที่คาใชจายที่ใช และประโยชนที่ไดรับ จุดสังเกตจากรูปนี้อยูที่ Utilizationของ WAN link เราพบวาในไซต Kansas City มีปญหา เนื่องจากใชงานใกลเต็ม เมื่อเราทราบวา Active Directory ตองใช DNS จึงมีคนถามวา DNS ที่ติดตั้งตองเปน Windows DNS เทานั้นใชหรือไม คําตอบคือไมจําเปน
การพิจารณาวิธีกําหนดคา DNS การทํางานของ Active Directory ใช DNS เปนหลัก ถา DNS เสีย Active Directory ก็ทํางานไมได หรือถากําหนดผิดก็จะมีปญหาเหมือนกัน Microsoft รองรับ DNS ท่ีเปนของคายอื่นดวยคือ DNS Server ใชของ UNIX ได
- กําหนดดวยมือ o DNS เปนระบบปฏิบัติการอื่นๆ
- กําหนดโดยอัตโนมัติ ใช DHCP เขาชวยแจกหมายเลข IP address หมายเลข IP Address ของ DNS ตองตายตัวหามใช Dynamic DNS การกําหนดหมายเลข IP Address ดวยมือ
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 28
ไปกําหนดในคุณสมบัติของ Network Connection > Local Area Connection > Properties > Internet Protocol (TCP/IP) > Properties > กําหนดหมายเลขที่ตองการ และ DNS การพิจารณาการกําหนดคา DNS
- กําหนดคาเปน IP Address ที่ถาวร - ตรวจสอบเรคคอรด _ldap._tcp.dc._msdcs.DNSDomainName service (SRV) - ตรวจสอบเรคคอรด A ที่มีการระบุที่ _ldap._tcp.dc._msdcs.DNSDomainName service (SRV)
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 29
ปฏิบัติการที่ 1 การติดตั้ง DNS และการตรวจสอบเรคคอรด
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 30
2.2 การติดต้ัง และการนํา Active Directory ออก สิ่งที่ตองการใหผูเรียนทราบมี
- การติดต้ัง Active Directory - การนํา Active Directory ออกจากเครื่อง Domain Controller
การติดต้ัง Active Directory
- การติดต้ังโดยใช Active Directory Installation Wizard - การใชไฟล Answer เพื่อติดต้ังแบบไมตอบคําถาม - การใชมีเดียที่มีการสํารองไว - การใช Configure Your Server Wizard
การติดต้ังโดยใช Active Directory Installation Wizard
- ชนิดของ Domain Controller - ชนิด Domain - ช่ือ Domain - ช่ือ NetBIOS สําหรับโดเมน - ตําแหนงฐานขอมูล และล็อกของ Active Directory - ตําแหนงของ Shared system volume - Permissions ดีฟอลทสําหรับออปเจคจ User และ Group - Directory services restore mode administrator password
ชนิดของ Domain Controller
หลักสูตร Advanced Admnistrative Windows Server 2003
9. รอเวลาจน DNS ทําการเพิ่ม _dc ลงไปในเรคคอรด เพื่อยืนยันวาขอมูลไดอัพเดตไปที่ Ntds.dit (ฐานขอมูลของ Active Directory)
การติดต้ังโดยใชมีเดียที่มีการสํารองไว เพื่อลดการจราจรในการเรพพลิเคต ในบางครั้ง Active Directory ของเรามีขอมูลมาก
- การสํารองของ Windows Server 2003 สามารถทําไดในดิสก และเทป - อายุของการเรพพลิเคตในการสํารองไมควรเกิน (Tombstone) ดีฟอลทคือ 60 วัน - การสํารองขามเครือขายตองพิจารณาความสามารถของเครือขายดวย - ขั้นตอนการติดต้ัง Active Directory ผานเครือขาย
ใหเราทําการสํารอง System State Data ในเครื่อง DC แรกไวกอน (ตองไมเกิน 60 วัน) แลวใชคําสั่ง dcpromo /adv ตรงนี้ระบบจะทําการเรียกดึงฐานขอมูลจากมีเดียที่สํารอง (ระบุตามขั้นตอนของวิซารด) การติดต้ังโดยใช Configure Your Server Wizard เปนเครื่องมือที่อยูใน Manage Your Server สามารถทําสิ่งตางๆไดดังนี้
– Promoteเครื่องเปน Domain Controller – การกําหนดชื่อโดเมนเต็ม – การกําหนดหมายเลข Static IP address – การติดต้ัง DNS Server, DHCP Server, Routing and Remote Access – กําหนด Subnet Mask – กําหนด DNS Server ที่ตองการ – กําหนด DNS ที่สงตอ – กําหนดคา DHCP scope – กําหนดการแตงตั้ง DHCP บน Active Directory – รองรับการใช TAPI Clients
การนํา Active Directory ออกจากเครื่อง Domain Controller
- ใชเครื่องมือ DNS ตรวจสอบที่คุณสมบัติของ Server node o คลิกขวาที่ช่ือเครื่อง และเลือกคําสั่ง Properties o ตรวจสอบวาเปน Active directory-Integrated หรือไม
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 38
การติดต้ังของ Shared system volume
- ตรวจสอบใน Shared Folder - ตรวจสอบ Netlogon - ตรวจสอบคา Policies ที่กําหนดใน Windows 9x, NT - ตรวจสอบคาติดตั้ง Group Policy - ตรวจสอบสคริปต Logon/Logoff
หลักสูตร Advanced Admnistrative Windows Server 2003
- ไมสามารถเขาถึง Server ได เมื่อติดต้ังเพราะวา DNS name ยังไมลงทะเบียน - ช่ือของโดเมนไมสามารถรับรอง หรือถูกตอง หรือยังใชไมได - ช่ือที่ใช User name และ Password ผิด - ไมสามารถที่นําขอมูลออกจาก Active Directory เมื่อมีการนําออกแลวได เชนช่ือเครื่องตางๆ
แสดงวา DNS SRV record ไมไดมีการลงทะเบียน ใหทําการตรวจสอบ SRV ใน DNS โดยใช nslookup เพื่อดูคาตางๆใน Active Directory Domain คาที่ตรวจสอบดูที่ DNS Zone delegations โดยใช nslookup
ปฏิบัติการที่ 3 การใชเครื่องมือวิเคราะหปญหาของ Active Directory
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 45
ตัวอยางการออกแบบโครงสรางเครือขาย
มีเครื่องตางดังนี้ ฝาย จํานวนผูใช จํานวนเครื่อง ระบบปฏิบัติการ ITS 10 25 UNIX Administration 5,000 5,030 Windows 2000 Advanced
server, Windows 2000 Professional, และ Windows XP
Marketing 15 20 Windows NT Workstation และ Windows NT 4 Server
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 46
บทที่ 3 การบริหารงาน Active Directory ในบทนี้จะกลาวถึงสิ่งตางๆดังนี้
- การใชเครื่องมือบริหารงาน Active Directory - การกําหนดสราง Microsoft Management Console (MMC) - การสํารอง Active Directory - การซอม Active Directory
3.1 การใชเคร่ืองมือบริหารงาน Active Directory สิ่งที่ตองการใหผูเรียนเขาใจมีดังนี้
- เครื่องมือในการบริหาร Active Directory - Active Directory-specific tools ใน Support Tools
เคร่ืองมือในการบริหาร Active Directory มีสองชุดหลักๆคือ
– Active Directory administrative consoles
– Active Directory-specific tools ใน Support Tools Active Directory administrative consoles เปนเครื่องมือที่ติดต้ังอัตโนมัติเมื่อมีการประกาศเครื่องเปน Domain Controllers โดยในชุดเครื่องมือมีดังนี้
- Active Directory Domains and Trusts - Active Directory Sites and Services - Active Directory Users and Computers - Active Directory Schema Snap-in ตองรัน Adminpak.msi ซ้ําอีกครั้งเพื่อติดตั้งเพิ่ม
ฟเจอรของ Domain Functional Level
ฟเจอรของโดเมน Windows 2000 Mixed Windows 200 Native Windows Server 2003 Domain controller rename tools
Disable Disable Enabled
Update logon timestamp Disable Disabled Enabled User password on InetOrgPerson object
Disable Disabled Enabled
Universal Groups Disabled บน Security แตทําไดบน Distribution
Enabled Enabled
Group Nesting Enabled Enabled Enabled Converting Group Disable Enabled Enabled
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 47
SID History Disable Enabled Enabled
เราสามารถกําหนดเปลี่ยนบทบาทใน Active Directory Domains and Trusts คลิกขวาที่โดเมนเลือกคําสั่ง Raise Domain Functional Level ฟงกชั่นที่ทํางานไดบน Forest Functional Levels
ฟเจอรบน Forest Windows 2000 Windows Server 2003 Global Catalog replication improvements
Enabled Enabled
Defunct schema objects Disable Enabled Forest trusts Disable Enabled Linked value replication Disable Enabled Improved Active Directory replication algorithms
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 48
ไปทําไดโดยคลิกขวาที่ Domains and Trusts เลือกที่ Raise Forest Functional Level Active Directory Domains and Trusts
เปนเครื่องมือที่ใชในการบริหาร และตรวจสอบการทรัสตกันระหวางโดเมน ซึ่งรองรับการจัดการใน Windows Server 2003 Domain, Windows 2000 Domain, Windows NT, รวมถึง Kerberos version 5 เราสามารถที่ปรับเปลี่ยนลําดับโดเมนไดจากที่นี่
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 49
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 50
เปลี่ยนช่ือ UPN suffix เพื่อสรางผูใช
UPN ยอจาก User Principal Name ใชตอนสรางผูใชใหเลือกวาจะล็อกออนชื่อแบบใด ในลําดับ Domain Functional Levels กําหนดสิ่งตางๆไดดังนี้
- Windows 2000 mixed - Windows 2000 Native
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 51
- Windows Server 2003 interim - Windows Server 2003
กรณีที่ใชรวมกับ Windows 2000 Server ตองการที่จะทํางานกับ Windows Server 2003 ใหใชคําสั่ง adprep /forestprep (หาไดจากแผนซีดีรอมของ Windows Server 2003 ที่ I386 คําสั่งนี้ทําบน Server 2000) เพื่อทําให Windows 2000 Serverยึดหนาที่เปน Schema Operations master ถาใช adprep /domainprep บน Windows 2000 Server domain controller จะยึด Infrastructure Operations Master ใหเปนของ Windows 2000 Server ในลําดับฟอเรสต กําหนดสิ่งตางๆไดดังนี้
- Windows 2000 Native - Windows Server 2003 interim (NT+Win2003) - Windows Server 2003
Active Directory Sites and Services
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 52
เปนเครื่องมือที่ใหขอมูลเกี่ยวกับโครงสราง Physical ซึ่งกําหนดในการบริการ Sites และกําหนดการเรพพลิเคต Active Directory Users and Computers
เปนเครื่องมือที่ใชในการเพิ่ม แกไข และลบออปเจค เพื่อจัดโครงสรางใน Windows Server 2003 ในหนึ่งโดเมน ซึ่งการบริหารงานโครงสรางจะใชออปเจคที่เปน Organizational Units (OUs) Active Directory Schema Snap-in
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 53
เปนเครื่องมือที่ใชดู และแกไข Active Directory Schema โดยดีฟอลทจะไมสรางเปนเครื่องมือ หรือติดต้ังใน Snap-in ผูบริหารตองเลือกติดตั้งเพิ่มเองโดยใชคําสั่ง adminpak.msi สาธิตการใชเคร่ืองมือ Active Directory Active Directory-specific tools ใน Support Tools เปนชุดเครื่องมือที่เพิ่มความสามารถในการแกปญหาในระบบ Active Directory Service ผูใชสามารถที่กําหนดคา จัดการ และตรวจสอบ Active Directory ได คําสั่งตางๆใน Support Tools
Dommig.doc GUI เปนเอกสารในการวางแผนสําหรับยาย Windows NT มาเปน Windows 2000
Nltest Nltest.exe Cmd ใชคนหาสถานะของการทรัสตซึ่งแสดงเปน Primary domain controllers; การบังคับชัตดาวน; การบังคับในการซิงคฐานขอมูลบน Windows NT domain, สามารถใชไดทั้ง Windows NT และ Windows 2000
System Information Msinfo32.exe Cmd รายงานขอมูลคาคอนฟเกอรของระบบ Task Killing Utility Kill.exe Cmd ใชฆาโปรเซสหนึ่งหรือมากกวา Task List Viewer Tlist.exe Cmd แสดงรายการของโปรเซสที่ทํางานอยู Window 2000 Error and Event Messages Help
W2000msgs.chm GUI แสดงรายการ error และขาวสารของระบบในเอกสาร HTML
การสรางชุดสํารอง Active Directory หลังจากเตรียมการกอนสํารอง ก็เขาสูการใชเครื่องมือในการสํารอง เชน Backup Or Restore Wizard เราสามารถเลือกสวนประกอบ และบริการที่สํารองไดโดยไปเลือกที่ System State Data ขั้นตอนการสํารองจะเปน Wizard
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 67
การลบงานออกจาก Active Directory งานที่สรางในการสํารองตางๆจะปรากฏใน Task scheduler ซึ่งผูสํารองสามารถไปตรวจสอบ และทําการลบงานได หรือเขาไปลบจาก Active Directory backup operation และคลิกที่ลิงคที่ Advanced 1ซึ่งจะมีแท็บ Schedule Job ไปทําการเลือกรายการ และลบงานที่ตองการได ปฏิบัติการที่ 6 การสํารองขอมูล Active Directory
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 68
3.4 การซอม Active Directory สิ่งที่ตองการใหผูเรียนเขาใจมีดังนี้
- การซอม Active Directory - สิ่งที่ตองทํากอนการซอม
การซอม Active Directory หลังจากที่มีการสํารองขอมูล เมื่อขอมูลมีปญหาเราสามารถที่ซอมไดโดยการเลือก Restore ถาตองการซอมทั้งหมดใหเลือก Restore all of the system state data ที่ไดสํารองไว จะเปนการกูคืน Registry, COM+ Class Registration database, System boot files, ไฟลที่ Windows ปองกันไว, Sysvol และ Certificate Services database ในกรณีที่เปนเครื่อง Domain Controller ตองเลือก
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 71
มี 3 Domain Admins เปน Global Group
– การสรางโดเมนเพื่อลดการจราจร เราสามารถบริหารการจราจรระหวางไซตไดโดยพิจารณา o ความสามารถของลิงค o การควบคุมเวลาในการจราจร o การดูลิงค กับคาใชจาย o การดูความจํากัดในลิงควาใชเปน Simple Mail Transport Protocol ไดหรือไม
– การสรางโดเมนเพื่อใหคงอยูใน Windows NT Domain เปนการพิจารณาผูบริหาร Windows NT Domain และเรื่องของความปลอดภัยในโดเมนที่ทําการทรัสตกัน
• โดเมนแรกจะเปน Forest root domain ถาเปนอีกทรีเรียกวา Tree root domain ความหมายของการสรางหลายทรี
– DNS names ในหนึ่งทรีจะรับผิดชอบในโครงสราง DNS เดียวกันได (มี DNS ตัวเดียวรองรับไดทั้งหมด)
– Proxy client exclusion list หรือ Proxy autoconfiguration (PAC file) ระบบที่มีการแยก DNS Server ในแตละโดเมนจะมีการเพิ่มรายการได (มี DNS หลัก และ DNS ยอย ทําการกําหนดรายการรวม
- Primary Domain Controller (PDC) emulator ถาในโดเมนเครื่องลูกขายที่ติดตอกับ Windows NT Domain ไมไดลงซอฟตแวร DSclient จะตองมี PDC emulator เพื่อทําหนาที่เปน Windows NT PDC ที่สงขอมูลในการเรพพลิเคตกับ BDCs บน Windows NT BDCs ซึ่งจะมีหนึ่งเครื่องที่เปน Master ใน Domain ถาเปน Windows Server 2003 อยางเดียวหนาที่ PDC emulator จะรับเรพพลิเคตรหัสผานไปยัง Domain controller อื่นๆในโดเมนเทานั้น
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 80
/syncall <DC> [<Naming Context>] [<flags>] /viewlist <DC_LIST> [OBJ_LIST] Note: Most commands take their parameters in the order of "Destination or Target DC_LIST", then a "Soure DC_NAME" if required, and finally the NC or Object DN if required. DC_LIST or DC_NAME is the proper DNS or NetBios name of a DC, for more options see repadmin /listhelp. <Dest DC>, <Source DC>, <DC> : Names of the appropriate servers <Naming Context> is the Distinguished Name of the root of the NC Example: DC=My-Domain,DC=Microsoft,DC=Com Note: Text (Naming Context names, server names, etc) with International or Unicode characters will only display correctly if appropriate fonts and language support are loaded Deprecated Commands: use repadmin /oldhelp to see these deprecated commands' syntaxes. /sync /propcheck /getchanges /getchanges /showreps /showvector /showmeta การยึด หรือโอนถายบทบาทไดดวยคําสั่งใน Ntdsutil รันบน Dos Prompt การวางแผนตําแหนงของ Operations master
o การสรางดวยมือ (กําหนดใน AD Domains and Trusts) หรืออัตโนมัติ (คําสั่ง dcpromo) o การเปน Transitive Trusts หรอื Non-Transitive Trusts o การกําหนดทิศทางเดียว หรือสองทิศทาง
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 85
[/ForestTRANsitive[:{yes | no}]] [/CrossORGanization[:{yes | no}]] [/AddTLN:TopLevelName] [/AddTLNEX:TopLevelNameExclusion] [/RemoveTLN:TopLevelName] [/RemoveTLNEX:TopLevelNameExclusion] NETDOM TRUST Manages or verifies the trust relationship between domains trusting_domain_name is the name of the trusting domain /Domain Specifies the name of the trusted domain or Non-Windows Realm. /UserD User account used to make the connection with the domain specified by the /Domain argument /PasswordD Password of the user account specified by /UserD. A * means to prompt for the password /UserO User account for making the connection with the trusting domain /PasswordO Password of the user account specified By /UserO. A * means to prompt for the password /Verify Verifies that the trust is operating properly /RESEt Resets the trust passwords between two domains. The domains can be named in any order. Reset is not valid on a trust to a Kerberos realm unless the /PasswordT parameter is included.
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 86
/PasswordT New trust password, valid only with the /Add or /RESEt options and only if one of the domains specified is a non-Windows Kerberos realm. The trust password is set on the Windows domain only and thus credentials are not needed for the non-Windows domain. /Add Specifies that a trust be created. /REMove Specifies that a trust be removed. /Twoway Specifies that a trust relationship should be bidirectional /OneSide Indicates that the trust be created for or removed from only one of the domains in the trust. Use the keyword "trusted" to create or remove the trust from the trusted domain (the domain named with the /D parameter). Use the keyword "trusting" to create or remove the trust from the trusting domain. This command is valid only with the /Add and /REMove options and requires the /PasswordT command when used with the /Add option. /REAlm Indicates that the trust is to be created to a non-Windows Kerberos realm. Valid only with the /Add option. The /PasswordT option is required. /TRANSitive Valid only for a non-Windows Kerberos realm. Specifying "yes" sets it to a transitive trust. Specifying "no" sets it to a non-transitive trust. If neither is specified, then the current transitivity state will be displayed. /Kerberos Specifies that the Kerberos authentication protocol should be verified between a domain or workstation and a target
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 87
domain; You must supply user accounts and passwords for both the object and target domain. /Force Valid with the /REMove option. Forces the removal of the trust (and cross-ref) objects on one domain even if the other domain is not found or does not contain matching trust objects. You must use the full DNS name to specify the domain. CAUTION: this option will completely remove a child domain. /Quarantine Valid only on an existing direct, outbound trust. Set or clear the domain quarantine attribute. Default is "no". When "yes" is specified, then only SIDs from the directly trusted domain will be accepted for authorization data returned during authentication. SIDS from any other domains will be removed. Specifying /Quarantine without yes or no will display the current state. /NameSuffixes Valid only for a forest trust or a Forest Transitive Non-Windows Realm Trust . Lists the routed name suffixes for trust_name on the domain named by trusting_domain_name. The /UserO and /PasswordO values can be used for authentication. The /Domain parameter is not needed. /ToggleSuffix Use with /NameSuffixes to change the status of a name suffix. The number of the name entry, as listed by a preceding call to /NameSuffixes, must be provided to indicate which name will have its status changed. Names that are in conflict cannot have their status changed until the name in the conflicting trust is disabled. Always precede this command with a /NameSuffixes command because LSA will not always return the names in the same order.
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 88
/EnableSIDHistory Valid only for an outbound, forest trust. Specifying "yes" allows users migrated to the trusted forest from any other forest, to use SID history to access resources in this forest. This should be done only if the trusted forest administrators can be trusted enough to specify SIDs of this forest in the SID history attribute of their users appropriately. Specifying "no" would disable the ability of the migrated users in the trusted forest to use SID history to access resources in this forest. Specifying /EnableSIDHistory without yes or no will display the current state. /ForestTRANsitive Valid only for Non-Windows Realm Trusts and can only be performed on the root domain for a forest. Specifying "yes" marks this trust as Forest Transitive. Specifying "no" marks this trust as Not Forest Transitive. Specifying /ForestTRANsitive without yes or no will display the current state of this trust attribute. /SelectiveAUTH Valid only on outbound Forest and External trusts. Specifying "yes" enables selective authentication across this trust. Specifying "no" disables selective authentication across this trust. Specifying /SelectiveAUTH without yes or no will display the current state of this trust attribute. /AddTLN Valid only for a Forest Transitive Non-Windows Realm Trust and can only be performed on the root domain for a forest. Adds the specified Top Level Name (DNS Name Suffix) to the Forest Trust Info for the specified trust. Also see the /NameSuffixes operation to list name suffixes.
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 89
/AddTLNEX Valid only for a Forest Transitive Non-Windows Realm Trust and can only be performed on the root domain for a forest. Adds the specified Top Level Name Exclusion (DNS Name Suffix)to the Forest Trust Info for the specified trust. Also see the /NameSuffixes operation to list name suffixes. /RemoveTLN Valid only for a Forest Transitive Non-Windows Realm Trust and can only be performed on the root domain for a forest. Removes the specified Top Level Name (DNS Name Suffix) from the Forest Trust Info from the specified trust. Also see the /NameSuffixes operation to list name suffixes. /RemoveTLNEX Valid only for a Forest Transitive Non-Windows Realm Trust and can only be performed on the root domain for a forest. Removes the specified Top Level Name Exclusion (DNS Name Suffix)from the Forest Trust Info from the specified trust. Also see the /NameSuffixes operation to list name suffixes. NETDOM HELP command | MORE displays Help one screen at a time. The command completed successfully. สาธิตการสราง Trust แบบตางๆ
หลักสูตร Advanced Admnistrative Windows Server 2003
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 92
2. Repadmin
3. Replmon
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 93
4. สคริปต
Site Link
ในการติดตอขามโดเมนจะมีการกําหนดคา Site links โดยกําหนดเปน Logical ซี่งกําหนดระหวางสองไซต หรือมากกวา โดยการสรางจะทําใหมีการสราง Replication Topology ซึ่งการกําหนดนี้ตองเปนแบบดวยมือ สรุปการกําหนด Site Link ดังนี้
หลักสูตร Advanced Admnistrative Windows Server 2003
Site Link Transitivity โดยดีฟอลทจะเปน Transitive คือเมื่อ Site A-> Site B, Site B-> Site C แลว Site A-> Site C สาเหตุที่ยกเลิก Transitive
– ตองการควบคุมการจราจร
– หลีกเลี่ยง Path ที่กําหนดในการเรพพลิเคตเปนสวนๆ
– IP network มีเสนทางติดตอไมสมบูรณ Site Link Bridges เปนการลิงคบน Transport ที่มีการกําหนด Transitive ซึ่งจะสามารถที่ไมอนุญาต โดยสรางการกําหนดใน Site link ที่ตองการ
ภาพแสดงการสราง Site Link Bridge คําอธิบาย BERN ติดตอกับ Zurich ผาน LUCERNE ซึ่งถาเราตองการกําหนดใหเปนเชนนี้เสมอเราจะสราง Site Link Bridge ช่ือ Ber-Lu-Zur ซึ่งเมื่อมีลิงคมากกวานี้ก็จะกําหนดติดตอผาน Lucerne เทานั้น
- เปนการเช่ือมตอสองไซต หรือมากกวา - กําหนดเพื่อสราง Transitive และ Logical link ระหวางไซต
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 95
Bridgehead servers
ภาพแสดง Bridgehead server เครื่องตางๆที่เปน DC เรากําหนดตัวแทนในการลิงคขามไซตได เครื่องที่เปนตัวแทนเรียกวา Bridgehead server เปนเครื่องที่อยูในโดเมนกําหนดใหเรพพลิเคต หรืออัพเดตจากไซตอื่นๆ กําหนดโดยอัตโนมัติดวย KCC (Knowledge Consistency Checker) การทํางานของ Intersite Replication 1. รอบเวลาที่กําหนด Bridgehead server ใน Zurich จะดึงขอมูล Bridgehead server ใน Lucerne site เพื่ออัพเดตขอมูล 2. ถา Bridgehead server ใน Lucerne site มีการอัพเดตขอมูล Active Directory ที่มีการลดขนาดที่สงจาก Zurich Site 3. เมื่อ Bridgehead server ใน Zurich site ไดรับขอมูล ก็จะเรพพลิเคตตอไปที่ Domain Controllers ตางๆในไซต
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 96
5.2 การกําหนดคาในไซต ผูเรียนจะเขาใจสิ่งตางๆดังนี้
- คากําหนดในไซต - การสรางไซต - การสราง Subnet - การสราง, การยาย, การนําออก ของออปเจค Domain Controller ในไซต - การตั้ง Site License Server
คากําหนดในไซต สิ่งที่ตองกําหนด
– สรางไซต – สราง Subnet และกําหนดคาในไซต
– สราง และยายออปเจค Domain Controller
– แตงตั้ง Site license server สําหรบัไซต โปรแกรมที่ใช Active Directory Sites and Services
บุคคลที่ทําการสรางไซตไดตองอยูในกลุม Enterprise Admins เพราะฉะนั้นถาใครเปน Administrator ในโดเมน Child หรือ Domain tree ไมสามารถที่สราง Site ใหมขึ้นมาได
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 97
ท่ีเก็บไซตแตละท่ีในฟอเรสต Site Container จะเก็บออปเจคเปนลําดับชั้นดังนี้ - ดูจํานวนของออปเจคในไซต ซึ่งจะมีอยูสามประเภท
o Licensing Site object o NTDS Site Settings object o Server Container
o หนึ่ง Domain Controller ในแตละไซต เพื่อกําหนดการรองขอของเครื่องลูก
ขายใน LAN o สอง Domain Controllers ในแตละโดเมน เปนการกําหนดเพื่อลดโหลดของเครื่องใน Domain
Controller - เหตุผลท่ีเพิ่ม Domain controllers
o ขนาดผูใชจํานวนมากในไซต และลิงคมีความเร็วตํ่า o ลิงคในไซตที่ไมนาเชื่อถือ หรือการเชื่อมตอที่ใชไมไดในบางขณะ
- ประสิทธิภาพที่ไมเหมาะกับการมี Domain Controller ในไซต o ไซตมีผูใชจํานวนนอย o ไซตมีเครื่องลูกขายขนาดเล็ก และไมมี Serverใช แนะนําใหใช Workgroup
การต้ัง Site License Server เปนบทบาทเครื่องที่ตรวจสอบการใชซอฟตแวรวาใชถูกตองหรือไม โดยมีการตรวจสอบการจัดซื้อ การลบ และการใชงาน โดยจะมีการสงขอมูลระหวางไซตเพื่อใหเก็บไวที่สวนกลาง เครื่องมือที่ใชคือ Licensing โดยเครื่องที่เก็บเรียกวา Site license server
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 100
สรุปสิ่งที่ควรรูเกี่ยวกับ Site License Server
- เปนการตรวจสอบ Software License agreement - เครื่อง Domain Controller เครื่องแรกจะเปน Site license server - องคกรใหญสามารถที่เก็บ Site license Server ได - เครื่องมือที่ใช Active Directory Sites and Services
- การกําหนดคา Intersite Replication - การสราง Site links - การกําหนดคาคุณสมบัติ Site link - การแตงต้ัง Preferred Bridgehead Server - การสราง Site link bridge - การสราง และการกําหนดคาออปเจคการเชื่อมตอ
– สราง และกําหนดคาออปเจคการเชื่อมตอ การสราง Site links ตองมีเครื่อง Domain Controller เครื่องแรกกอน ซึ่งใช Active Directory Installation Wizard และจะมีการสรางลิงคดีฟอลทที่ช่ือ DEFAULTIPSITELINK ที่เก็บคาไวในไซตแรกที่เปนดีฟอลท สรุปสิ่งที่ควรรูเกี่ยวกับ Site links
- ดีฟอลทจะมี DEFAULTIP-SITELINK - สามารถกําหนดใหมไดโดยใช Active Directory Sites and Services - Replication Transport Protocols
o Directory Service Remote Procedure Call (DS-RPC) o Inter-Site Messaging- Simple Mail Transport Protocol (ISM-SMTP)
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 103
สาธิตการใช Site Link การกําหนดคาคุณสมบัติ Site link ตองมีความมั่นใจในประสิทธิภาพของการเรพพลิเคต และ Fault tolerance ซึ่งสิ่งที่กําหนดมีดังนี้
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 104
- กําหนดคา Site Link Cost เปนการกําหนดเลือกเสนทางยิ่ง Cost สูงยิ่งไมใช - กําหนดความถี่ Site Link Replication สามารถกําหนดไดตํ่าสุด 15 นาที - กําหนดตารางเวลา Site Link Replication ที่ใชงานได กําหนดเปนตารางเวลาที่ตองการ
การแตงต้ัง Preferred Bridgehead Server Bridgehead Server เปนเครื่องที่ใชติดตอแลกเปลี่ยนขอมูลระหวางไซต ซึ่งในสองไซตจะมี Site link หนึ่งโดย KCC จะเลือกเครื่องที่ติดตอที่เปน Bridgehead server ซึ่งจะมีหนึ่งในทุกไซตสําหรับทุกๆโดเมนที่ Domain Controllers อยูในไซต เราสามารถกําหนด Preferred Bridgehead server เพื่อใหเครื่องคอมพิวเตอรที่เหมาะสมทั้งแบนดวิดช ในการขนสงขอมูล และการแลกเปลี่ยนขอมูล ก็จะดูความสามารถ และทําการอัพเดตขอมูล ซึ่งเราสามารถเลือก Preferred Bridgehead server ไดหลายเครื่อง ถามีการกําหนดคา Firewall จะตองมีการสรางจุดแลกเปลี่ยนขอมูลดวย ความหมายของการใช Preferred Bridgehead Server ถา Preferred bridgehead server ลม Active directory จะเลือกเครื่อง Preferred bridgehead server ที่เหมาะสมจากการที่กําหนด
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 105
การแทนที่ Preferred Bridgehead server ที่มีปญหา
– เพิ่ม Domain Controllers และแตงต้ังเปน Preferred Bridgehead server
เราสามารถกําหนด Bridge head server ไดมากกวาหนึ่งเครื่อง
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 106
การสราง Site link bridge
กําหนดโดยใช Active Directory Sites and Servicesไปกําหนดที่ Inter-Site Transports -> โฟลเดอร IP or SMTP -> เลือก New Site Link Bridge การสราง และการกําหนดคาออปเจคการเชื่อมตอ (Connection Object) เปนการกําหนดการนําเขาการเชื่อมตอในเครื่อง Domain controller ซึ่งเมื่อไซตหน่ึงมี KCC สรางการเชื่อมตอภายในไซต เมื่อมีมากกวาหนึ่งไซต KCC จะมีทุกไซตในทุกออปเจคการเชื่อมตอสําหรับการเรพพลิเคตระหวางไซต การสราง Connection objects สามารถทําไดโดย Administrator ซึ่งสรางเปน “owned” โดย KCC การเพิ่ม Connection objects ดวยมือจะเปนการลด Connection objected ที่สรางโดย KCC เพื่อเพิ่มประสิทธิภาพในการเรพพลิเคต Connection Transport ในทุกๆ Connection object จะมีการเลือก Replication transport ที่กําหนดโดยดีฟอลทคือ RPC ซึ่งใชกับความเร็วสูง ซึ่ง RPC ทํางานบน IP ในไซตอีกที แตถา IP และ SMTP ใชการติดตอระหวางไซต ซึ่งเลือกไดตามตองการ
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 107
ขั้นตอนคือ
1. ล็อกออนดวย Administrator ใน Forest Root domain 2. ใช Active Directory Sites and Services 3. ไปที่ Sites > Default-First-Site-Name > Servers > เคร่ือง Server > NTDS Settings >
Connection Connection Schedule ในแตละ Connection object จะมีการกําหนดตารางเวลาโดยอัตโนมัติโดย KCC ซึ่งเราสามารถกําหนดเองไดโดยเพิ่มตํ่าสุด 15 นาที ซึ่งดีฟอลทจะสรางหนึ่งตอช่ัวโมง เปนคาใน NTDS Site Settings object ซึ่งกําหนดเปน No replication, Once Per Hour (Default), Twice Per Hour, หรือ Four Times Per Hour
หลักสูตร Advanced Admnistrative Windows Server 2003
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 109
5.4 การกําหนด Global Catalog Servers ผูเรียนจะเขาใจสิ่งตางๆดังนี้
- เขาใจเกี่ยวกับ Global Catalog Servers - การสราง และการนํา Global Catalog ออก - การอนุญาตใชฟเจอร Universal Group Membership Caching
เขาใจเกี่ยวกับ Global Catalog Servers Global Catalog เปนที่เก็บที่เก็บขอมูลตางๆของออปเจคในทรี หรือฟอเรสต ซึ่งโดยดีฟอลท Global Catalog จะสรางขึ้นมาบนเครื่องแรกที่เปน Domain Controller ซึ่งจะมีการเก็บออปเจคทั้งหมดในโดเมนที่อยู และขอมูลบางสวนของตามโดเมน มีคียหลักสามขอคือ
– อนุญาตใหผูใชล็อกออนเครือขายรองรับสมาชิกใน Universal Group
– อนุญาตใหคนหาขอมูลรายช่ือ โดยเขาไปโดเมนในฟอเรสต
– แกปญหา User principal names (UPNs) เมื่อมีการตรวจสอบผูใช ฟเจอร Universal Group membership Caching ระหวางเครือขายแบนวิดช และ Server ที่มีขอจํากัดฮารดแวร อาจจะไมมี Global Catalog ในออฟฟศที่อยูทางไกล สามารถใชฟเจอรของ Universal Group membership caching ความสามารถนี้เปนความสามารถใหมใน Windows Server 2003 คือไมตองเปน Global Catalog server แตเปน Universal Group membership caching ที่สามารถที่ใชล็อกออนโดยไมมี Global Catalog โดยทั่วไป Universal Group membership จะมีการเก็บแคชแตละ Domain Controller ทุก 8 ช่ัวโมง ซึ่งทําไดเฉพาะเครื่องที่เปน Windows Server 2003 โดยจะสง Universal group membership ที่ยืนยันไปที่เครื่อง Global Catalog ซึ่งมีไดถึง 500 Universal group memberships ในการอัพเดตตอครั้ง ขอดีของการใช Universal group membership ในออฟฟศที่อยูไกล
Hosting a global catalog - ลดการใชแบนวิดชของเครือขายลง
พิจารณาตําแหนง Global Catalog Servers เพื่อใหการตอบสนองเหมาะสม ตองมีการวาง Global Catalog ในแตละไซตที่มี Domain Controller ซึ่งจะรองรับการรองขอในการติดตอ ซึ่งเหตุผลในการเพิ่ม Global Catalog มีดังนี้
– ดูเรื่องประสิทธิภาพ
– Fault tolerance
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 110
– การล็อกออนเขาใชอยางรวดเร็ว Global Catalog จะใชพอรต 3268 ซึ่งใชในการแกปญหาใน Global catalog queries การสราง และการนํา Global Catalog ออก ใช Active Directory Sites and Services แลวไปที่ Domain Controller และกําหนด NTDS Settings จะมีคุณสมบัติใหกําหนด
การอนุญาตใชฟเจอร Universal Group Membership Caching ใช Active Directory Sites and Services แลวไปกําหนดใน NTDS Site Settings, และกําหนด Properties ในเช็กบ็อกซจะมี Enable Universal Group Membership Caching
หลักสูตร Advanced Admnistrative Windows Server 2003
Replmon ไปที่ Command Prompt และพิมพวา Replmon คลิกขวาที่ Monitored servers เลือกที่เลือกที่ Add Monitored servers > เลือกที่ Add the server explicitly by name และคลิก Next
ระบุช่ือเครื่องที่ตองการในชอง Enter the name of the server to monitor explicitly, คลิกที่ Finish
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 116
เขาไปดูในรายละเอียดขอมูลที่ตองการ
หลักสูตร Advanced Admnistrative Windows Server 2003
- แสดงคูเรพพลิเคตสําหรับ Server - แสดงคาสูงสุดของ Update sequence number (USN) บนเครื่อง Server - แสดง Connection objects สําหรับ Server - บังคับ Replication ระหวางคูเรพพลิเคต
เครื่องมือนี้อยูใน Support Tools ของ Windows Server 2003 คําสั่ง DSastat.exe เปนเครื่องมือที่ใชเปรียบเทียบ และตรวจสอบความแตกตางระหวาง Directory partitions บน Domain Controllers สามารถที่มั่นใจวามีการอัพเดตขอมูล แลวหรือไม รูปแบบคําสั่ง
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 119
Dsastat [/loglevel:option] [/output:option] [/s:servername[portnumber][;servername[portnumber];…]] [/t:option] [/sort:option] [/p:entrynumber] [/scope:option] [/b:serachpath] [/filter:ldapfilter] [/gcattrs:option[;option;…]] [/uusername] [/pwd:password] [/d:domain] Arguments [Dsastat::usage] Error: Invalid usageUsage: dsastat [options] Options: -loglevel:<level> : debug, trace, info [def: info] -output:<level> : file, screen, both [def: both] -s:<name(s)> : Server names delimited by ';' [def: NULL] -b:<search baseDN> : Base DN for search for objects [def: NULL] -scope:<level> : Scope of search. BASE, ONELEVEL, SUBTREE [def: SUBTREE] -filter:<ldap filter : filter for search. [def: (objectclass=*)] -sort:<true or false> : request in sorted order [def: false] -t:<true or false> : stats only. False does a full content comparison[def:true] -p:<page size> : number of entries to a page [def: 64] -u:<name> : bind user name [def: NULL] -d:<name> : authenticating domain [def: NULL] -pwd:<name> : bind password [def: NULL] -gcattrs:<query attr(s): attributes to be queried. See note below [def: auto] -debug:<true or false> : add debug info [def: FALSE] -checkForMangledMemberDn:<true or false> : check for mangled RDNs in member attribute [def: FALSE] -checkForBadSingleValuedAttr:<true/false> : check for single valued attrs with multiple valoues [def:FALSE] ตัวอยางคาํสั่ง Dsastat Dsastat /s:server1;server2 /b:DC=contoso,Dc=com /gcattrs:all /sort:true /t:false /p:16 เปนการคนหาขอมูล Dsstat /s:server1;srever2 /b:OU=Sales,DC=contoso,DC=com /gcattrs:all /sort:true /t:false /p:16 เปนการคนหาเปรียบเทียบใน OU
สาธิตเคร่ืองมือท่ีใชแกปญหา Active Directory Replication การแกปญหา Active Directory Replication ปญหาตางๆของ Active Directory Replication เหตุ การแกไข การเรพพลิเคตถูกยุติ ใหสราง Site link จากไซตปจจุบันไปที่ไซตที่ตองการใน
หลักสูตร Advanced Admnistrative Windows Server 2003
ลูกขายตองรองขอ Authenicaton information ผานgเครือขายความเร็วตํ่า
ใหต้ัง DC รองรับ และแยกออกไป รวมถึงการกําหนด Connection และเพิ่ม Bandwidth
ไดรับ Error Event ID 1311 ใน directory service log มีการเรพพลิเคตผิดในเครื่อง DC บางตัว Offline อยูและกําหนดเปน Bridgehead หรือ Site link กําหนดไมทุกการเช่ือมตอ
ตองมั่นใจวาทุก Site มี Site link และมีการกําหนด Domain Controller ใหมีการเรพพลิเคต ตรวจสอบ Bridgehead วาทํางานอยู
ถาได Event ID 1265 with error “DNS lookup failure” หรือ “RPC server is unavailable)
ใหตรวจสอบการลงทะเบียนใน DNS ที่ dsaGuid._msdcs.Forestname วาไดมีการลงทะเบียนหมดหรือไม และ DNS Zone กําหนดแตงตั้งลงไปอยางถูกตองหรือไม แกปญหา DNS เปนหลัก
Event ID 1265 “Access denied” ใน Directory srvie log หรือจาก repadmin command เปนปญหาวามีการตรวจสอบผิดพลาดในการเรพพลิเคตกับเครื่อง ซึ่งอาจจะมี DC ไมทําการติดตออยู หรือพักไปนาน หรือมีรหัสผานเปลี่ยนไป
- ยุติ KDC พิมพ net stop KDC - ทําการเคลียรแคชที่ DC ที่นั่น - รีเซตผูใชใหมดวย netdom /resetpwd - ทําการซิงคกับเครื่องตางที่ PDC emulator
master - บังคับใหมีการเรพพลิเคตดวยมือ บน PDC
emulator master - แลวมารับ KDC ใหม ดวย net start KDC
ไดรับ “Access denied” จาก AD Sites and Services เมื่อมีการเรพพลิเคตดวยมือ
- Full Control - Control สําหรับ Object Classes (Users, WMI, etc.)
โดยดีฟอลทจะมี Administrator ที่มีสิทธิ Full Control ในโดเมน ถาตองการแบงหนาที่รับผิดชอบยอยสามารถนํา OU เขาใชงานได การพิจารณา Object Class สําหรับ Administrator
- ดูพ้ืนที่โครงสรางที่ใหสิทธิ Full control บน Objects ในคลาสใน OU - ดูพ้ืนที่จัดโครงสรางที่อนุญาตให Create objects สําหรับคลาส และ Full control สําหรับออปเจคที่สราง - ดูพ้ืนที่จัดโครงสรางที่อนุญาตให Modify เฉพาะคุณสมบัติ หรือแสดงงานที่ระบุเกี่ยวของกับออปเจคที่มีอยู
ใน Class การกําหนด OUs เพื่อบริการ Group Policy Group Policies เปนที่เก็บคาติดตั้งของผูใช และเครื่องคอมพิวเตอร ซึ่งจะสามารถลิงคกับ Computers, Sites, Domains,
และ OU เพื่อกําหนดคาผูใช หรือเครื่องผูใช โดยจัดเก็บ Group Policy Objects การกําหนดเพื่อซอนออปเจค ในองคกรอาจจะมีออปเจคบางอยางที่ตองการซอนระหวาง OUs ซึ่งไมตองการใหผูใชเห็นที่เก็บที่อยูใน OU ที่สูงกวา หรือระดับเดียวกัน การกําหนดนี้ตองมีการพิจารณา Permissions ดวย
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 125
การออกแบบโครงสราง OU - การออกแบบ OUs ใหงาย - กําหนดจํานวน Forests และ Domains นอยที่สุด - ใชโครงสราง OU เพื่อใหตรงกับความตองการ - ลําดับช้ันควรนอยกวา 7 ลําดับ
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 126
6.2 การสรางโครงสราง OU ผูเรียนจะเขาใจสิ่งตางๆดังนี้
- การสราง OUs - การกําหนดคาใน OUs
การสราง OUS โปรแกรมที่ใชคือ Active Directory Users and Computers และเลือกออปเจค OU เพื่อสรางออปเจค
การกําหนดคา Ous เพื่อซอนออปเจค ใชโปรแกรม Active Directory Users and Computers และไปที่แท็บ Security เพื่อกําหนด Permissions แท็บ Security จะเห็นก็ตอเมื่อไปที่เมนู Views > Advanced Features
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 127
ปฏิบัติการที่ 13 การสราง Organizational Unit
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 128
6.3 การบริหารงาน OUs ผูเรียนจะเขาใจสิ่งตางๆดังนี้
- งานในการบริหาร - การใชคําสั่ง Dsmove
งานในการบริหาร
– การเปลี่ยนช่ือ
– การยาย
– การลบ OUs
– การกําหนดคุณสมบัติของ OUs ใน Active Directory Users and Computers สามารถที่ใชหลักการ Drag & Drop ในการยายออปเจคระหวาง Ous ไดซึ่งเปนความสามารถใน Windows Server 2003 การเปล่ียนชื่อ OU
คลิกขวาที่ OU ที่ตองการเลือกคําสั่ง Rename พิมพช่ือใหมทับไป คุณสมบัติของ Ous
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 129
ในแท็บ Managed By สามารถกําหนดผูจัดการ Ous ได การยายออปเจคใน Active Directory สามารถทําไดหลายวิธีคือ
- ใชการ Drag & Drop ใน Active Directory Users and Computers - ใชคําสั่ง Move options ใน Active Directory Users and Computers
หลักสูตร Advanced Admnistrative Windows Server 2003
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 132
บทที่ 7 การบริหารงาน User accounts ในบทนี้จะกลาวถึงสิ่งตางๆดังนี้
- ความเขาใจ User Accounts - การสราง User Accounts - การจัดการ User Profiles และ Home folders - การจัดการ User accounts
7.1 ความเขาใจ User Accounts ผูเรียนจะเขาใจสิ่งตางๆดังนี้
- สิ่งที่ควรเขาใจใน User accounts - ช่ือที่กําหนดใน Domain User account - ความตองการรหัสผาน และแนวทางในการกําหนด - การใชงานรวมกับ Smart Card
สิ่งที่ควรเขาใจใน User accounts User Account เปนเรคคอรดที่ประกอบดวยขอมลูตางๆที่กําหนดเปนผูใช รวมถึง User Name, Password ที่กําหนดในการล็อกออน สมาชิกของกลุม และ Permissions ตางๆ ซึ่งเมื่อผูใชมีการตรวจสอบจะไดรับสิทธิในการเขาใชทรัพยากร การตรวจสอบเรียกวา Authentication การใชงาน ใน Windows Server 2003 ที่มีการจัดโครงสรางเปนลําดับช้ันทําใหใชทรัพยากรตางๆในโดเมนอื่นๆได เปนผลใหผูใชล็อกออนเพียงครั้งเดียว ชนิดของ User Account
– Local User accounts คือผูใชในเครื่อง Windows XP Professional หรือ Windows server 2003 ที่ไมใช Domain Controllers
– Domain User accounts คือผูใชที่อยูบน Active Directory หรือบนโดเมน
– Built-in User account คือผูใชที่ระบบสรางตอนติดต้ัง หรือประกาศเครื่องขึ้นมาเปน DC ตัวอยางเชน Administrator, Guest, IUSR_ช่ือเครื่อง
Local User accounts เปนผูใชที่ล็อกออนบนเครื่อง และใชทรัพยากรในเครื่องที่ใชนั้นๆ ฐานขอมูลถูกจัดเก็บไวในเครื่องนั้นๆ ผูใชที่สรางในเครื่องนั้นๆจะไมมีผลตอการใชงานทรัพยากรในโดเมน
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 133
Domain User accounts เปนผูใชที่ล็อกออนในเครื่อง Domain Controller และไดรับสิทธิในทรัพยากรของโดเมนที่กําหนด โดยรองรับตั้งแต Windows NT Domain, Windows 2000, และ Windows Server 2003 โดยใน Windows Server 2000 และ Windows Server 2003 เรียกวา Active Directory
Built-in User account เปนผูใชที่ระบบสรางขึ้นมาในการติดตั้ง Windows Server 2003 เชน Administrator และ Guest Administrator เปนผูใชที่สามารถจัดการเครื่อง และทรัพยากรตางๆในโดเมนไดหมด ไมวาจะเปนการสราง แกไข ลบ หรือกําหนดนโยบายตางๆ ซึ่งการใชงานแนะนําใหเปลี่ยนช่ือ Administrator เพื่อปองกันการเดารายชื่อในการล็อกออน ถาเปนไปไดควรแยก User ทั่วไปกับ Administrator ออกจากกัน เพื่อความปลอดภัย โดยงานที่ไมเกี่ยวกับงานบริหารใหใช User ทั่วไปที่สรางขึ้น Guest เปนช่ือที่สรางในโดเมนไมมีสิทธิในการล็อกออน โดยทั่วไปจะถูกกําหนดไมใหใช Guest account ไมตองกําหนดรหัสผานในการเขาใชถามีการ Enable Administrator กับ Guest ไมสามารถลบได ชื่อท่ีกําหนดใน Domain User account
- พิจารณาวา User account ที่สรางเปน Local หรือ Domain - เลือกผูใชวาจะใชช่ือล็อกออนอยางไร โดยกําหนด DN ไมซ้ํากัน และขอมูลกําหนดที่ใชในการคนหา (RDN)
เปนตน - ระบุชนิดของ User เชนพนักงานประจําใชช่ือปกติ พนักงานชั่วคราวขึ้นตนดวย T-เปนตน - กําหนดใหรองรับกับ e-mail system ตองอยาใชช่ือที่มี “_” เนื่องจาก Internet ไมรองรับ และไมใชช่ือที่
ขึ้นตนดวยตัวเลขเพราะบางระบบไมรองรับ ความตองการรหัสผาน และแนวทางในการกําหนด รหัสผานเปนการปองกันการเขาใชโดเมน ซึ่งทุก User account ตองมีการกําหนดรหัสผาน สิ่งที่ควรทราบเกี่ยวกับรหัสผานบน Windows Server 2003 คือ
- รหัสผานสามารถกําหนดได 127 อักขระ ถาเปนระบบปฏิบัติการ Windows 9x รองรับ 14 อักขระ
- กําหนดความเขมแข็งของรหัสผาน o ไมควรนอยกวา 7 ตัวอักษร o ไมควรใช User name, ช่ือจริง, หรือช่ือบริษัท o ไมควรใชคําใน Dictionary o เมื่อมีการเปลี่ยนรหัสผานตองกําหนดวิธีการใหตางจากเดิม
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 136
7.2 การสราง User Accounts ผูเรียนจะเขาใจสิ่งตางๆดังนี้
- การสราง Domain User Accounts - การแกไขคุณสมบัติของ Domain User Accounts
การสราง Domain User Accounts โปรแกรมที่ใช Active Directory Users and Computers สราง New User และกําหนดรายละเอียด
– User Name Options
รายละเอียด First Name, Initials, Last Name, Full Name เปนช่ือที่ใชในการแสดงผล User Logon name และกับ User Logon Name (Pre-Windows 2000) เปนช่ือที่กําหนดใชในการล็อกออน
– Password Options
หลักสูตร Advanced Admnistrative Windows Server 2003
- User Must Change password at next logon เมื่อล็อกออนครั้งแรกตองเปลี่ยนรหัสผาน - User cannot change password ผูใชไมสามารถเปลี่ยนรหัสผานได - Password never expires รหัสผานเปลี่ยนเมื่อไรก็ได - Account is disable ไมอนุญาตใหผูใชนี้ใชงาน
การแกไขคุณสมบัติของ Domain User Accounts เมื่อสรางผูใชแลว ผูบริหารระบบสามารถเขาไปดู และปรับเปลี่ยนคุณสมบัติของผูใชได โดยแบงแทบ็ที่แกไขเปนกลุมดังนี้ รายละเอียดของ User accounts จะมีแท็บตางๆ ใหแกไข
หลักสูตร Advanced Admnistrative Windows Server 2003
ขอมูลในการกําหนดกับแอพพลิเคชั่น - Remote Control - Terminal Services Profile
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 139
- COM+ - Published Certificates
ขอมูลเกี่ยวกับความปลอดภัย - Object - Security
กําหนดคาติดต้ัง User account กับ Smart Card authentication ไปกําหนดในแท็บ Account และกําหนดใน Account Options ที่กําหนดวา Smart Card is required for interactive logon
กําหนดคาติดต้ัง Logon Hours
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 140
กําหนดคาติดต้ัง Computers ท่ีใหผูใชล็อกออน
กําหนดวันหมดอายุของ Account
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 141
ปฏิบัติการที่ 15 การสราง และการแกไข User accounts
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 142
7.3 การจัดการ User Profiles และ Home folders ผูเรียนจะเขาใจสิ่งตางๆดังนี้
- เขาใจเกี่ยวกับ User Profiles - ชนิดของ User Profiles - User Profiles กับ Group Policy - การสราง User Profiles - เขาใจเกี่ยวกับ Home Folder - การสราง Home Folder
เขาใจเกี่ยวกับ User Profiles User Profile เปนที่เก็บโฟลเดอร และขอมูล ที่ผูใชใชใน Desktop, Application Settings และขอมูลสวนตัว โดยผูใชทุกคนถูกสราง User Profiles เมื่อมีการล็อกออนครั้งแรกในระบบปฏิบัติการ Windows Server 2003 ท่ีจัดเกบของ User Profiles ตําแหนงที่จัดเก็บดีฟอลทอยูที่ C:\Documents and Settings ซึ่งถาเปน Windows NT 4.0 จะอยูที่ %Systemroot%\profiles คาที่จัดเก็บ
- Windows Explorer - My Documents - My Pictures - Favorites - Mapped network drive - My Network Places - Desktop contents - Screen colors and fonts - Application data and registry hive - Printer settings - Control Panel - Accessories - Windows Server 2003 family-based programs - Online user education book-marks
เปนที่จัดเก็บโฟลเดอร
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 143
- Application data folder - Cookies folder - Desktop folder - Favorites folder - Local Settings folder - My Documents folder - My Recent Documents folder - NetHood folder - PrintHood folder - SendTo folder - Start Menu folder - Templates folder
ชนิดของ User Profiles มี 4 ประเภทคือ
- Local
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 144
- Roaming - Mandatory - Temporary
Local User Profiles เปนโปรไฟลที่เก็บไวในเครื่องที่ใชนั้น ซึ่งลูกขาย Windows Server 2003 จะแยกเก็บเปนแตละบุคคล ตําแหนงที่เก็บคือ C:\Documents and Settings\User_logon_name ซึ่ง C คือไดรฟที่ติดต้ังระบบปฏิบัติการ User_logon_name เปนช่ือผูใชที่ล็อกออน เมื่อผูใชล็อกออนครั้งแรกจะมีการสรางโปรไฟลนี้ขึ้น Roaming User Profiles เปนโปรไฟลที่รองรับกับการใชหลายๆเครื่อง โดยโปรไฟลจะเก็บไวใน Path บนเครือขาย เมื่อผูใชเปลี่ยนเครื่องล็อกออนก็จะดาวนโหลดมาเก็บไวใน Local เครื่องนั้น ครั้งแรกที่ล็อกออน Windows Server 2003 จะกอปปเอกสารทั้งหมดจาก local มาเก็บไว เมื่อผูใชทําการล็อกออฟ ก็จะทําการบันทึกเก็บไว การกอปปไฟลจะกอปปเฉพาะขอมูลที่เปลี่ยนแปลง Mandatory User Profiles เปนการระบุการใชแยกเปนกลุม หรือบุคคล โดยผูใชอานโปรไฟลไดอยางเดียว ไมสามารถอัพเดตได เมื่อทําการล็อกออฟก็ไมบันทึกทับ ถามีการล็อกออนเปลี่ยนเครื่องก็จะดาวนโหลดมาเก็บไวที่ Local (เปลี่ยนนามสกุล User Registry คือ Ntuser.dat > Ntuser.man) Temporary User Profiles เปน User Profile ที่เกิดขึ้นเมื่อมีเงื่อนไขผิดพลาดในการโหลด ซึ่งจะลบเมื่อจบการใชงานคาตางๆจะหายไปเมื่อผูใชล็อกออฟ
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 145
User Profiles กับ Group Policy กําหนดคาติดต้ัง User Profiles ไดดังนี้
– Prevent Roaming Profile Changes From Propagating to the server เปนการรวมกับ Roaming profile ที่มีการกอปป แตเมื่อมีการเปลี่ยนผูใชก็จะไมรวมกับ Roaming user profile เมื่อล็อกออฟ
– Add The Administrator Security Group to Roaming User Profiles เปนการเพลือกเหมือน Windows NT ที่ใหกลุม Admnistrators มี Full control ในไดรเรคทรอรี่ของ User Profiles ตางๆ
– Only Allow Local User Profiles เปนการพิจารณาบางเครื่องใหใช Local profiles โดยไมดึงจาก Roaming User Profiles
การสราง User Profiles Local User Profiles เกิดขึ้นเมื่อมีการล็อกออนครั้งแรก Roaming user profiles
– สรางโฟลเดอร และปลอยแชร Network
– ตองไปกําหนดที่ User ที่ตองการใน Active Directory Users and Computers Mandatory user profiles
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 146
– กําหนดเหมือน Roaming User profile
– กอปป User Profiles ที่ตองการ โดยใช System ใน Control Panel
– และเขาไปที่โฟลเดอรที่กอปปเปลี่ยนนามสกุล NTuser.dat เปน NTUser.man สิ่งที่ควรปฏิบัติกับ User Profiles
- อนุญาตใหกําหนดคาฮารดแวรที่ตางกันได - ใชชนิดของ Video hardware เดียว เมื่อมีการสราง และแกไข User profile สําหรับหนึ่งผูใช - สรางหนึ่ง Mandatory user profile สําหรัลกุมของผูใชที่มีการใชชนิดของฮารดแวรวีดีโอเดียวกัน - ไมใช Offlline Folder Caching บน Roaming user profile shared directories ไมเชนน้ันจะมีปญหาเรื่องการ
ซิงโครไนสขอมูล - ไมใช Encrypted file System (EFS) บน Roaming Profiles จะมีปญหาในการซิงโครไนสขอมูล - ไมกําหนด Disk Quotas นอยไป - เมื่อมีการสราง Roaming profile shared directory กําหนดใหเขาใชไดในคนที่ตองการ - ใช Server ที่รัน Windows 2000 หรือสูงกวาในการเก็บ Roaming User Profiles - กําหนดเปน NTFS เพื่อเก็บขอมูลเพราะรองรับ Discretionary access control lists (DACLs) และ System
Access Control List (SACLs) ปฏิบัติการที่ 16 การสราง User Profile แบบตางๆ
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 147
เขาใจเกี่ยวกับ Home Folder เปนที่เก็บขอมูลเอกสารตางๆของผูใช ขอดี
– สามารถใชงานกับ Windows 9x, Windows NT, Windows 2000/2003 การสราง Home Folder
- สรางโฟลเดอร Home Folder - แชรโฟลเดอรที่ไดให Permissions เปน Everyone – Change หรือ Full Control - กําหนดคาใน User โดยใช Active Directory Users and Computers ไปที่แท็บ Profiles ระบุ Connect และ
Network Path ที่ตองการจัดเก็บ Profiles ปฏิบัติการที่ 17 สราง Home Folder
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 148
7.4 การจัดการ User accounts ผูเรียนจะเขาใจสิ่งตางๆดังนี้
Domain Local Groups เปนกลุมที่ใชในการกําหนด Permissions ในทรัพยากร คุณลักษณะ
- กลุมเปดในการบรรจุสมาชิก สามารถนําผูใชจากโดเมนอื่น หรือ Global Group มาใสเปนสมาชิกได - กําหนดการเขาใชทรัพยกรในโดเมนที่อยู
Universal Groups
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 152
เปนกลุมที่เพิ่มมาใน Windows Server 2003 ขึ้นไป ใชในการกําหนด Permissions ในหลายโดเมน ซึ่งมีคุณลักษณะดังนี้
- เปนกลุมเปด สามารถใสสมาชิกเปน User และ Global Group - เขาใชกําหนดทรัพยากรในโดเมนใดๆได - รองรับเฉพาะโดเมน ที่ Domain funcational level set ของ Windows 2000 Native หรือ Windows Server
2003 การกําหนด Universal นี้จะมีผลตอการเรพพลิเคต ขอมูลตางๆที่เปนสมาชิกของ Universal จะถูก Replicate ใน Global catalog Server สมาชิกของ Group Group Scope สามารถที่กําหนดสมาชิกโดยพิจารณาดังนี้
Group Scope โดเมนที่เปน Domain Functional Level set ใน Windows 2000 Mixed สามารถบรรจุ
โดเมนที่เปน Domain Functional Level set ใน Windows 2000 Native หรือ Windows Server 2003 สามารถบรรจุ
Global User accounts, และ Computer Accounts จากโดเมนเดียวกัน
User accounts, และ Computer Accounts จากโดเมนเดียวกัน
Domain Local User accounts, และ Computer Accounts Global Groups จากโดเมนใดๆ
User accounts, และ Computer Accounts Global Groups, Universal จากโดเมนใดๆ และ Domain Local Group ในโดเมนเดียวกัน
Universal ไมสามารถใชได User accounts, และ Computer Accounts Global Groups และ Universal Groupsจากโดเมนใดๆในฟอเรสต
การซอน Group ตองพิจารณาเรื่องของการกําหนด Permissions และจํานวนลําดับช้ันในการซอนกลุม ซึ่งใน Windows Server 2003 อนุญาตใหซอนไดไมจํากัดใน Windows 2000 Native หรือ Windows Server 2003 คําแนะนํา
- ในโดเมนของ Domain funcational level ที่เปน Windows 2000 mixed จะกําหนดใหใช Global groups จากโดเมนใดๆเปนสมาชิกของ Domain Local Groups ซึ่ง Universal จะไมรองรับใน Windows 2000 mixed
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 153
- ในโดเมนของ Windows 2000 Native หรือ Windows Server 2003 สามารถกําหนดไดหลายลําดับในการซอนกลุม
Local Groups แนวทางการใช Local Group
– ใช Local groups เฉพาะที่ตองการใชในเครื่องนั้นๆเทานั้น
– ใช Local groups บนเครื่องที่ทํางานบน Windows XP Professional หรือ Windows Server 2003 ที่เปน member server
– ใช Local groups เฉพาะเครื่องที่ไมเปนทรัพยากรของโดเมน กฎของการกําหนดสมาชิก
– Local groups สามารถที่บรรจุ Local user account จากเครื่องคอมพิวเตอรที่สราง
– Local groups ไมสามารถเปนสมาชิกกลุมอื่นๆได Default Groups
เปนกลุมที่สรางขึ้นเมื่อติดตั้ง Windows Server 2003 ซึ่งมี Default Groups แยกเก็บในโฟลเดอรดังนี้
กลุมท่ีระบุพิเศษ (Special Group) เปนกลุมที่เกิดขึ้นเฉพาะใน Windows NT รวมถึงระบบปฏิบัติการ Windows Server 2003 ที่สมาชิกถูกควบคุมโดย
ระบบปฏิบัติการไมสามารถที่แกไข หรือดูกลุมสมาชิกได - Anonymous Logon - Authenticated Users - Dialup - Enterprsie Domain Controllers - Everyone - Interactive - Network - Service - Terminal Server User
การใช Anonymous User เพื่อเพิ่มความปลอดภัย ในระบบปฏิบัติการ Windows NT และ Windows 2000, จะมีการตรวจสอบการเขาใชในการเขาใชโดเมน โดยทุกคนจะอยูในกลุม Everyone ซึ่ง Authentication Users, Anonymous Logon, และ Domain Guests จะเปนสมาชิกของ Everyone หมด ซึ่งใน Active Directory Objects จะกําหนดใหบังคับกลุม Anonymous user ในการเขาใชมากขึ้น ทําใหไมเปนกลุมของ Everyone ใน Windows Server 2003 Built-in Local Group
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 157
- Terminal Server Users - Users
การวางแผน Group
• การวางแผน Global และ Domain Local Groups
1. กําหนด Users ดวยงานที่รับผิดชอบดวย Global Group 2. สราง Domain Local group สําหรับทรัพยากรเพื่อที่แชร 3. ใส Global Groups ไปในทรัพยากรที่ตองการใชใน Domain Local Group 4. กําหนด Permissions ของทรัพยากรใน Domain Local Groups การวางแผนกับ Universal Group Universal Groups กําหนด Grant หรือ Deny เพื่อเขาใชทรัพยากรถามีมากกวาหนึ่งโดเมน ซึ่งการกําหนดทําไดใน Windows 2000 Native และ Windows Server 2003 การกําหนดปรับเปลี่ยน Universal Group บอยๆจะมีผลตอการจราจรที่เกิดจากการ Replicate สิ่งที่มีผลตอการเรพพลิเคต
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 158
- เพิ่ม Global Groups, ไมใช Users ใน Universal Group - เปลี่ยนสมาชิกของ Universal groups ใหนอยที่สุดเทาที่เปนไปได
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 159
8.2 การสราง และการบริหารงาน Groups ผูเรียนจะเขาใจสิ่งตางๆดังนี้
- การสราง Group - การลบ Group - การเพิ่มสมาชิกใน Group - การเปลี่ยนสโคป Group
การสราง Group ใชโปรแกรม Active Directory Users and Computers ซึ่งจะสรางในโดเมน และสราง OU ที่ตองการหลังจากนั้นก็สรางออปเจค Group
การลบ Group เมื่อมีการสรางกลุมจะมีการสราง Security identifier (SID) ซึ่งจะใชคานี้ไปกําหนดในทรัพยากรที่อนุญาตใช ดังนั้นการลบคือการทําให SID หายไป เมื่อสรางไมจะไมมีการกําหนด SID เดิมใหถึงแมวาช่ือจะเหมือนเดิม ขั้นตอนการลบ Group
การเพิ่มสมาชิกใน Group หลังจากที่มีการสรางกลุมก็จะตองมีการกําหนดสมาชิก สามารถทําไดโดยไปที่กลุม หรือออปเจคที่ตองการ ถาไปที่กลุมใหใช Members tab ถาไปที่ออปเจคสมาชิกใหไปที่ Member Of
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 160
เมื่อเลือกใสสมาชิกตองกําหนดออปเจคดวย
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 161
คนหาออปเจคที่ตองการแลวเลือกใสเปนสมาชิก ออปเจคหนึ่งๆเปนไดหลายกลุม การเปล่ียน Group Scope เราสามารถปรับเปลี่ยน Group Scope ไดดังนี้
- Global -> Universal - Domain Local -> Universal - Universal -> Global - Universal -> Domain Local
ปฏิบัติการที่ 19 การบริหารงาน Group
หลักสูตร Advanced Admnistrative Windows Server 2003
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 175
- สามารถนํารายการออกจาก Special Permissions ไดดวย การโอนถาย Ownership
- สามารถเปลี่ยนมือเจาของที่กําหนดไดตามที่ตองการ - ผูบริหารสามารถดึงไฟลบนเครื่องคอมพิวเตอรได แตไมสามารถโอนถายไปใหที่อื่นได - ผูใชที่ Restore Files and Directories user right สามารถที่เลือกกลุมใดในการเปน Ownership ได
ปฏิบัติการที่ 21 การควบคุม Access Control ในออปเจค Active Directory
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 176
9.3 การแตงต้ังเพื่อควบคุมการบริหารของออปเจค Active Directory ผูเรียนจะเขาใจสิ่งตางๆดังนี้
- การแตงต้ัง Administrative Control - การตรวจสอบรายการที่แตงต้ัง - การนํารายการที่แตงตั้งออก
การแตงต้ัง Administrative Control ใน Active Directory Users and Computers ผูบริหารระบบสามารถเลือกออปเจคใน Container เพื่อกําหนด Delegation ไดโดยใชเครื่องมือ Delegation Of Control Wizard ซึ่งกําหนดรายการ Access Control Entry (ACE) ใน Access Control List (ACL) ขั้นตอนของ Delegation Of Control Wizard
- Users and Groups
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 177
- Tasks to delegate
- Active directory object Type
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 178
- Permissions
o กําหนดได General o Property-Specific o Creation/Deletion Of Specific Child objects
Local GPOs ในแตละเครื่องจะมีเพียงหนึ่งเทานั้น ซึ่งจะไมเกี่ยวกับสวนประกอบของ Active Directory หรือเครือขาย คาที่กําหนดจะสงผลที่เครื่องนั้นๆเทานั้น ซึ่งถา Nonlocal GPOs กําหนด Local GPOs จะไมสามารถทับนโยบายจาก Nonlocal GPOs ได
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 182
การเรียกใช Local GPOs
Non Local GPOs จะมีการสรางเพื่อลิงคกับ Site, Domain, หรือ OU ซึ่งสามารถกําหนดไดใน Windows Server 2000 และ Windows server 2003 ซึ่งดีฟอลทที่สรางมีอยูสองที่คือ
ซึ่งการกําหนดนี้สามารถที่กําหนด Windows Components ที่มีผลตอ Microsoft Netmeeting, Internet Explorer, Application Compatibility, Task Scheduler, Terminal Services, Microsoft Windows Installer, Microsoft Windows Messenger, Microsoft Media Player, และ Microsoft Update ถาเปนการกําหนดใน User Configuration จะมีผลใน Windows Components เพียง Help and Support Center, Windows Explorer, และ MMC Administrative Templates
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 188
กอนหนานี้เปนการกําหนดโหนดใน Administrative Templates ของ GPO แตจริงแลวผูบริหารสามารถควบคุม Registry ไดโดยกําหนดคาติดต้ังดวย GPO Editor และใส Template เพิ่ม ซึ่ง Windows NT Server หรือกอนหนานั้นจะรองรับ .adm ที่เปน ANSI ทําใหตองใช System Policy Editor แตใน Windows 2000/2003 รองรับในรูปแบบ Unicode ที่กําหนดใน Registry ใช GPO กําหนดแทน System Policy Editor มีสามชนิดคือ
- Default เปนคาที่ Windows 2003 มีใหดังตารางดานลาง - Vedor-Supplied ซึ่งสามารถโหลดเพิ่มไดจาก Windows XP Resource Kit หรือ Office 2000/XP - Custom กําหนดเอง โดยสรางไฟล .adm language ที่ควบคุมคาติดต้ัง และพัฒนาโดยผูพัฒนาซอฟตแวร
ตารางแสดงคาดีฟอลทที่ Windows Server 2003 มีให
Administrative Template คําอธิบาย System.adm เปนการติดตั้ง Group Policy โดยดีฟอลทสําหรับลูกขาย Windows 2000 และ
Windows 2003 Inetres.adm ติดต้ังโดยดีฟอลทเปนการกําหนดคาใน Internet Explorerสําหรับลูกขาย Windows
2000 และ Windows 2003 Wmplayer.adm เปนการกําหนดคาสําหรับ Windows Media Playerสําหรับลูกขาย Windows 2000
และ Windows 2003 Conf.adm เปนการกําหนดคาสําหรับ Netmeetingสําหรับลูกขาย Windows 2000 และ
Windows 2003 Wuau.adm เปนการกําหนดคาสําหรับ Windows Updatesสําหรับลูกขาย Windows 2000 และ
Windows 2003 Group Policy มีผลอยางไรเมื่อเปดเครื่อง และล็อกออน เปดเครื่องจะสง Remote Procedure Call System Service (RPCSS) และ Multiple Universal Naming Convention Provider (MUP)
สิ่งแรกที่ตองทาํคือการทํางานของ Group Policy และการวางแผนในการวางระบบใหตรงกับความตองการ เมื่อวางแผนไดแลวก็เริ่มขั้นตอนการติดต้ัง และกําหนดคาติดต้ัง GPO การสราง GPO เริ่มตนจากการสราง GPO ซึ่งเปนที่เก็บคากําหนดของ Group Policy ขั้นตอนการสรา
1. พิจารณาวาจะสรางที่ Site, Domain, หรือ OUs a. ใน Site ใหกําหนดโดยใช Active Directory Sites and Services b. ใน Domain และ Ous ใหกําหนดโดยใช Active Directory Users and Computers
2. กําหนดคาในแท็บ Group Policy ซึ่งจะอยูใน Properties ของ Site, Domain, หรือ OU การสราง MMC สําหรับ GPO เมื่อตองการแกไขการใชเครื่องมือ Active Directory Users and Computers หรือ Acitve Diretory Sites and Services จะ
- ไมอนุญาต GPO ที่ไมใช - ใช Block Policy Inheritance และ No Override เทาที่จําเปน - ไมใชช่ือเดียวสําหรับ GPO ที่ตางกัน - กรอง Policy บน Security Group membership - ใช Loopback เทาที่จําเปน - บังคับ Group Policy มากกวา System Policy - หลีกหนีการกําหนด GPO ขามโดเมน
ปฏิบัติการที่ 21 การวางระบบ Group Policy
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 199
ตัวอยางการออกแบบ Group Policy โครงสรางระบบเครือขาย
โครงสราง Domain OU
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 200
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 201
บทที่ 11 การบริหารงาน Group Policy ในบทนี้จะกลาวถึงสิ่งตางๆดังนี้
- การจัดการ Group Policy ดวย Resultant Set of Policy (RSoP) - การจัดการโฟลเดอรพิเศษกับ Group Policy - การแกปญหา Group Policy
11.1 การจัดการ Group Policy ดวย Resultant Set of Policy (RSoP) ผูเรียนจะเขาใจสิ่งตางๆดังนี้
- เขาใจเกี่ยวกับ RSoP - การสราง RSoP Queries ดวย Resultant Set Of Policy Wizard - การสราง RSoP Queries ดวยเครื่องมือ Gpresult - การสราง RSoP Queries ดวยเครื่องมือ Advanced System Information-Policy - การแตงต้ังการควบคมุ RSoP
เขาใจเกี่ยวกับ RSoP หลังจากที่ไดเรียนรูกับ GPO ก็พบวาการพิจารณา GPO จะมีการรวมกัน ดังนั้จะตองมีการหาชุดผลลัพธที่กําหนดกอนที่เริ่มใชงานจริงซึ่งใน Windows Server 2003 ไดนํา RsoP มาใชงานเพื่ออํานวยความสะดวกในการรวบขอมูลที่เรียกวา Common Information Management Object Model (CIMOM) สิ่งที่ควรเขาใจเกี่ยวกับ RSoP
- เปนการรวมคาที่กําหนดใน Local Computer, Site, Domain และ OU ที่เปนลําดับช้ัน - สามารถกําหนดดึงคา GPOs ที่มีอยู และรายงานเปน User และ Computer - ใชรวมกับ Common Information Management Object Model (CIMOM) database ได - มีเครื่องมือที่ใชได 3 อยางคือ
o Resultant Set Of Policy Wizard o คําสั่ง Gpresult o เครื่องมือ Advanced System Information
ตัวอยาง จากคําสั่ง GPResul Microsoft (R) Windows (R) Operating System Group Policy Result tool v2.0 Copyright (C) Microsoft Corp. 1981-2001 Created On 5/19/2005 at 10:46:14 AM RSOP data for PORNCHAI\administrator on 2107_00 : Logging Mode ---------------------------------------------------------------
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 202
OS Type: Microsoft(R) Windows(R) Server 2003, Enterprise Edition OS Configuration: Primary Domain Controller OS Version: 5.2.3790 Terminal Server Mode: Remote Administration Site Name: Default-First-Site-Name Roaming Profile: \\2107_00\profiles\administrator Local Profile: C:\Documents and Settings\Administrator Connected over a slow link?: No COMPUTER SETTINGS ------------------ CN=2107_00,OU=Domain Controllers,DC=eng,DC=pornchai,DC=com Last time Group Policy was applied: 5/19/2005 at 10:45:52 AM Group Policy was applied from: 2107_00.eng.pornchai.com Group Policy slow link threshold: 500 kbps Domain Name: ENG Domain Type: Windows 2000 Applied Group Policy Objects ----------------------------- Default Domain Controllers Policy Default Domain Policy The following GPOs were not applied because they were filtered out ------------------------------------------------------------------- Local Group Policy Filtering: Not Applied (Empty) The computer is a part of the following security groups ------------------------------------------------------- BUILTIN\Administrators Everyone BUILTIN\Pre-Windows 2000 Compatible Access Windows Authorization Access Group NT AUTHORITY\NETWORK NT AUTHORITY\Authenticated Users This Organization 2107_00$ Domain Controllers NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS USER SETTINGS -------------- CN=Administrator,CN=Users,DC=pornchai,DC=com Last time Group Policy was applied: 5/19/2005 at 10:05:43 AM Group Policy was applied from: 2107_01.pornchai.com Group Policy slow link threshold: 500 kbps Domain Name: PORNCHAI Domain Type: Windows 2000 Applied Group Policy Objects ----------------------------- Default Domain Policy The following GPOs were not applied because they were filtered out ------------------------------------------------------------------- Local Group Policy Filtering: Not Applied (Empty) The user is a part of the following security groups --------------------------------------------------- Domain Users Everyone BUILTIN\Pre-Windows 2000 Compatible Access
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 203
BUILTIN\Administrators NT AUTHORITY\INTERACTIVE NT AUTHORITY\Authenticated Users This Organization LOCAL Enterprise Admins Schema Admins Group Policy Creator Owners Domain Admins
เคร่ืองมือ Advanced System Information
การสราง RSoP Queries ดวย Resultant Set Of Policy Wizard เพื่อชวยในการวิเคราะหผลใหไดอยางมีประสิทธิภาพ Windows Server 2003 รองรับ Resultant Set Of Policy Wizard ซึ่งจะรายงานคาที่ GPOs มีผลตอ users และ Computers ใหโดยกําหนดขั้นตอนตามที่เกิดขึ้น และเปนการดึงคา GPO ที่จําลองขึ้น โดยกําหนดรายงานไดสองโหมดคือ Logging กับ Planning โหมด Logging เปนการดูคา GPO settings, Software installation applications, และ Security สําหรับเครื่องคอมพิวเตอร และผูใช
- หาขอผิดพลาด หรือสิ่งที่กําหนดทับในนโยบายที่ติดต้ัง - ดู Security groups ที่มีผลตอ Policy Settings - ดูคาที่ Local policy ถูกกระทํากับ Group Policies
หลักสูตร Advanced Admnistrative Windows Server 2003
- ตองการทดสอบ Policy กอนหนา o คากําหนด User and Computer ที่ตาง Security groups o คากําหนด User and Computer ที่ตาง OU o การยาย User and Computer ไวตําแหนงใหม
การเปล่ียน My Documents ไปเปน Home Folders สิ่งที่จําเปนเมื่อมีการเปลี่ยน My Documents เปน Home Folders
– ความปลอดภัย
– ความเปนเจาของ
– คุณสมบัติของ Home directory บนออปเจคผูใช
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 209
ตําแหนงดีฟอลทโฟลเดอรพิเศษ - ตําแหนงคาติดตั้ง Windows 2000/2003 เก็บไวที่ C:\Documents and Settings - อัพเกรดจาก Windows NT4 และ Windows NT 3.x ตําแหนงอยูที่ C:\Winnt\Profiles - อัพเกรดจาก Windows 9x ตําแหนงอยูที่ C:\Windows\System32\Profiles
คาติดต้ัง Folder Redirection
- กําหนดเปลี่ยนโฟลเดอรพิเศษสําหรับทุกคนใน Site, Domain, หรือ OU - กําหนดเปลี่ยนโฟลเดอรพิเศษสําหรับสมาชิกใน Security Group
สาธิตการใช Folder Redirection เราสามารถที่กําหนด MY Documents ใหแม็บกับคาตางๆไดดังนี้
หลักสูตร Advanced Admnistrative Windows Server 2003
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 215
ปญหาที่เกิดขึ้นไดใน Group Policy
- ผูใชไมสามารถเปด Console แมมี Read permission - เมื่อผูใชพยายามแก GPO แลวเปดขึ้นมามีขอความแจง GPO มีปญหา - เมื่อผูใชพยายามแกไข GPO มีขอความบอกผิดพลาด Active Directory Container - เมื่อผูใชพยายามแกไข GPO ขึ้นขอความ Snap-in มีปญหา - Group Policy ไมกําหนดใน User and Computer ใน Security Group ที่เก็บ แมวาจะลิงคที่ OU ที่มี Security
Group - Group Policy ไมมผีลตอ Users and Computers ใน Site, Domain, หรือ OU - Group Policy ไมมีผลตอ Users and Computer ใน Active Directory Container - Local Group Policy ไมมีผลตอเครื่อง - Folder Redirection ไมทํางาน - Folder Redirection สําเร็จแตไฟล และโฟลเดอรไมมี - ไฟลมีเมื่ออยูในภาวะออนไลน แตออฟไลนไมมี - ผูใชไมสามารถที่ใช Files และ Folders ใน Offline - ไฟลไมซิงโครไนสกัน
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 216
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 217
บทที่ 12 การกระจายซอฟตแวรดวย Group Policy ในบทนี้จะกลาวถึงสิ่งตางๆดังนี้
- ความเขาใจซอฟตแวรกับ Group Policy - การกระจายซอฟตแวรดวย Group Policy - การบํารุงรักษาซอฟตแวรที่กระจายดวย Group Policy - การแกปญหาซอฟตแวรที่กระจายกับ Group Policy
12.1 ความเขาใจซอฟตแวรกับ Group Policy ผูเรียนจะเขาใจสิ่งตางๆดังนี้
- เขาใจการกระจายซอฟตแวรดวย Group Policy - Software Installation Extension - Windows Installer Service - Windows Installer Packages - การเพิ่ม หรือยายโปรแกรมใน Control Panel - กระบวนการกระจายซอฟตแวร - การกระจายแพ็ตเกจ Windows Installer
ความสามารถเหลานี้ทํางานกับ Active Directory ใน Group Policy และเครื่องที่กําหนดไดตองเปน Microsoft Windows 2000 ขึ้นไป และสงผลกับเครื่องลูกขายที่มีระบบปฏิบัติการ Windows 2000 Professional ขึ้นไป เคร่ืองมือท่ีใชในการจัดระเบียบ Group Policy
- Software Installation extension - Add or Remove Programs
Software Installation Extension เปนสิ่งที่เพิ่มขึ้นใน Group Policy Object Editor ที่ใหผูบริหารจัดระเบียบซอฟตแวร ซึ่งจัดการจากสวนกลาง
วิธีการที่ผูใชติดตั้งจาก Add or Remove Programs ใน Control Panel
Start menu หรือ Desktop shortcut
จะติตดั้งทันที (เมื่อเครื่องรีบูต)
ถาซอฟตแวรไมติดต้ัง และผูใชเปดนามสกุลไฟลที่ใชจะ
ติดต้ัง (ถากําหนดใหติดต้ังอัตโนมัติ)
ติดต้ัง ไมติดตั้ง ซอฟตแวรติดตั้งไปแลว
สามารถที่จะนําออกเมื่อใช Add or Remove Programs ใน Control panel หรือไม
ได และเลือกที่จะติดตั้งใหมจาก Add or Remove Programs ไดดวย
ได และยังสามารถติดต้ังอีกครั้งไดจากจุดที่ติดต้ัง
ไมไดจะกําหนดไดเฉพาะ Local administrator ที่นําซอฟตแวรออก ผูใชทําการซอมซอฟตแวรไดเทานั้น
รองรับไฟล Windows Installer packages (.msi)
Windows Installer packages (.msi)
Windows Installer packages (.msi)
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 220
ไฟล .zap กระบวนการกระจายซอฟตแวร ขั้นตอนของการรับซอฟตวรจะแยกเปน Published และ Assigned
ใน Published Applications ใหไปดูที่ Add or Remove Programs ที่เก็บอยูใน Active Directory และเลือกที่ติดตั้งผาน SDP ถากําหนด Assigned Applications จะไดรับขอมูลซึ่งเปน Shortcut ใน Start menu หรือบน Desktop เมื่อมีการเรียกก็จะติดต้ังจาก SDP ถากําหนดติดตั้งโดยใช Applications พิจารณาจากไฟลนามสกุล การติดต้ังจะเกิดขึ้นเมื่อมีการเปดไฟลนามสกุลที่แอพพลิเคชั่นรองรับ การกระจายซอฟตแวรท่ีเปน Published applications
- เมื่อผูใชล็อกออนแลวไปเปด Add or Remove Programs ใน Control Panel - ใหเลือกที่ Application ที่ตองการ ซึ่งจะมีขอมูลที่เก็บ Published software ไว - ใหสงคํารองไป SDP - Windows Installer service จะเริ่มทํางาน และติดต้ังซอฟตแวร
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 221
การกระจายซอฟตแวรท่ีเปน Assigned Application - เมื่อล็อกออนใหทํางาน Windows 2000 หรือสูงกวา - Winlogon จะสงคํารองแจงไปที่ผูใชบน Desktop หรือบน Start menu - ผูใชเลือกแอพพลิเคชั่นที่ตองการจาก Desktop หรือ Start mneu - Windows Installer service จะดึงขอมูล Windows Installer package - สงคํารองขอซอฟตแวรไป SDP - เมื่อติดตั้งแลวก็เปดแอพพลิเคชั่นได
การกระจายซอฟตแวรท่ีเปน Automatically Installed Application - ผูใชล็อกออนที่เครื่อง Windows 2000 หรือสูงกวา - ทําการดับเบิ้ลคลิกไฟลนามสกุลที่ไมรูจัก - Windows Server 2003 จะดูขอมูลนามสกุล - ถาขอมูลพบก็จะกําหนดตําแหนง SDP - ถาไมมีก็จะหาจาก Active Directory วามีตําแหนง Application บน SDP หรือไม
การกระจายแพ็ตเกจ Windows Installer เพราะวา Windows Installer เปนสวนหน่ึงของระบบปฏิบัติการ ทําใหการกระจาย Windows Installer Package เปนเรื่องที่ทําไดบนเครื่องลูกขาย และสามารถที่ใชงานกับองคกรขนาดใหญดวย Windows 2000 Server หรือสูงกวากับ Active Directory ในกรณีที่เปนเปนเครื่องกอน Windows 2000 ตองใช Microsoft System Management Server (SMS) แทนการใช Group Policy การจัดขบวนซอฟตแวรใน Group policy ใช Pull model จะทําใหซอฟตแวรใชไดกับผูใชที่ตองการ ซึ่งเมื่อมีการเรียกครั้งแรกไมวาเปนนามสกุล หรือ Shortcut ก็จะติดต้ัง การทําระบบนี้ตองอาศัยความเร็วของเครือขายสูงเชน LAN และลูกขายจะตองเห็น SDP SMS รองรับการทํางานที่รูปแบบกระจายที่แข็งแกรวงกวาการใช Group Policy เพราะมีการวิเคราะหเครือขาย และมีเครื่องมือในการที่สงซอฟตแวรกระจายไปยังที่ตางๆ เหมาะกับองคกรขนาดใหญ และทํางานในลูกขายตางๆได SMS ใช Push model ในการสงซอฟตแวร โดยจะทําการสงซอฟตแวรในชวงเวลาที่ไมใชงานหนัก และสรางจุดในการกระจายไปยังที่ตางๆ เพื่อควบคุม และซิงโครไนสไฟลในหลากหลายไซต และยังลงปญหาความไมลงตัวกันของระบบปฏิบัติการดวย การเลือกใช SMS แทน Group Policy มีเงื่อนไขดังนี้ - ลูกขายไมใช Windows 2000 - กระจายซอฟตแวรในลิงคความเร็วตํ่า - ตองการความสามารถของ Software licensing and Metering - มีการระบุคาติดต้ังของ Computer
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 222
12.2 เขาใจการกระจายซอฟตแวรดวย Group Policy ผูเรียนจะเขาใจสิ่งตางๆดังนี้
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 232
– ลบ GPO
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 233
12.4 การแกปญหาซอฟตแวรท่ีกระจายกับ Group Policy ผูเรียนจะเขาใจสิ่งตางๆดังนี้
- การใชเครื่องมือในการแกปญหา Group Policy - ตัวอยางสถานการณที่เกิดปญหา
ผูบริหารระบบตองหาวิธีในการแกปญหาซอฟตแวรที่กระจายโดยใช Group Poolicy ซึ่งตองมีการตรวจสอบคาที่กําหนดวาทํางานไดเหมาะสมหรือไมจึงจําเปนที่ตองมีการใชเครื่องมือในการตรวจสอบ และแกปญหา การใชเคร่ืองมือในการแกปญหา Group Policy เครื่องมือที่ใชในการแกปญหา
– Resultant Set Of Policy Wizard
– Gpresult
– Gpupdate
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 234
– Event Viewer
– Log file สิ่งแรกที่ผูแกปญหาตองทําคือการกําหนด Advanced Diagnostic Information ที่กําหนดการบันทึกการแกปญหา ซึ่งมี
13.1 เขาใจเกี่ยวกับความปลอดภัย Active Directory ผูเรียนจะเขาใจสิ่งตางๆดังนี้
- พ้ืนฐานของ Active Directory Security - สิ่งที่ควรปฏิบัติกับ Security Settings
เขาใจเกี่ยวกับ Acitve Directory Security สวนประกอบพื้นฐาน Active Directory Security
- Security Groups - Access Control - Delegation of Control - Group Policy
Security Group เปนสิ่งที่ชวยใหการบริหารงานนั้นทําไดอยางงายดวยการกําหนด Permissions และ Rights ที่เหมาะสมในการควบคุมคาความปลอดภัย โดยอาจจะใชเครื่องมือสําเร็จรูปเชน Delegation of Control Wizard มาชวยในการกําหนดในระดับ Site, Domain, หรือ OU
Active Directory Security รองรับโดย Group Policy ซึ่งจะทําใหเรากําหนดไดงายยิ่งขึ้นโดยใชการกําหนดเปนนโยบาย
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 239
Event Log เปนการกําหนดคาขนาดล็อกที่ใชตรวจสอบทั้ง Application, Security และ System ซึ่งจะใหมีการสอดคลองกับความตองการองคกร
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 240
Restricted Groups เปนการกําหนดสมาชิกในกลุม ซึ่งชวยควบคุมสมาชิกใน Administrator ซึ่งเมื่อนโยบายกําหนดแลวผูใชที่อยูใน Restricted group ที่บอกไวก็จะมีสิทธิในสมาชิกที่ตองการ
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 241
System Services เปนการกําหนดคาที่กําหนดใหเมื่อเครื่องเปดขึ้นมาจะใหมีบริการใดทํางานไดบาง และกําหนด Permission เพื่อ Read/Write/Delete/Execute
หลักสูตร Advanced Admnistrative Windows Server 2003
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 244
เนื่องจากเทคโนโลยี่อุปกรณ Wireless มีการใชหลากหลายคายทําให Windows Server 2003 ตองรองรับ 802.11 wireless network เพื่อกําหนดในตระกูล Windows Server 2003 เฉพาะ Windows Server 2003, Standard Edition รองรับแต Infrared network นโยบายที่กําหนดใน Wireless มีดังนี้
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 246
เปนการกําหนดฟเจอรใหมใน Windows XP และ Windows Server 2003 ที่ระบุใหควบคุมการ Execute ซอฟตแวรที่ตองการ และไมตองการในการทํางานบนระบบปฏิบัติของ Active Directory IP Security Policies
หลักสูตร Advanced Admnistrative Windows Server 2003
- ผูใชไดรับขอความแจง “Windows cannot open this program because it has been prevented by a software restriction policy. …” หรือ “The system cannot execute the specified program”
เขาใจเกี่ยวกับการ Auditing ในการตรวจสอบ Windows Server 2003 จะสามารถที่ตรวจสอบกิจกรรมของ User และ System ไดเรียกวา Events ซึ่งเกิดขึ้นในเครื่อคอมพิวเตอรโดยการบันทึกเก็บใน Security log ในเครื่องที่เปน Domain Controller จะมีการจัดเก็บล็อกมากกวาเครื่องทั่วไปเนื่องจากมีการตรวจสอบการรับรองในการพยายามเขาใชระบบดวย รายละเอียดที่ปรากฏในล็อกมีดังนี้
สิ่งที่ควรปฏิบัติสําหรับ Security Configuration and Analysis - ถาจําเปนที่วิเคราะหเครื่องจํานวนมากเชนทั้งโดเมน ใหใชคําสั่ง Secedit - ใช Security Configuration and Analysis เฉพาะพื้นที่ความปลอดภัย - ไมใช Security Configuration and Analysis เมื่อมีการกําหนดใน Domain หรือ OU ตองกําหนดลูกขายแยก
แตละเครื่อง การแกปญหา Security Configuration and Analysis
- Security database ไฟลเสียหาย - Security policy ไมสงผลอยางถูกตอง - Security policies ที่กําหนดผูใชไดรับขอความ “0x534: No mapping…” - ผูใชไดรับขอความผิดพลาดเชน “The system cannot log you on now …”
ปฏิบัติการที่ 28 การใช Security Configuration and Analysis
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 270
บทที่ 14 การจัดการประสิทธิภาพ Active Directory ในบทนี้จะกลาวถึงสิ่งตางๆดังนี้
- การตรวจสอบประสิทธิภาพดวย Service Logs และ System Monitor - การตรวจสอบประสิทธิภาพดวย Performance Logs and Alerts - การปรับแตง และการแกปญหาประสิทธิภาพ Active Directory
14.1 การตรวจสอบประสิทธิภาพดวย Service Logs และ System Monitor
ผูเรียนจะเขาใจสิ่งตางๆดังนี้
- เขาใจเกี่ยวกับล็อก Directory และ File Replication Services - เขาใจการใชงาน System Monitor - สิ่งที่ควรรูเกี่ยวกับการกําหนด System Monitor - สิ่งที่ควรปฏิบัติในการตรวจสอบประสิทธิภาพกับล็อก Directory Service และ System Monitor - การแกปญหา Directory Service log และ System Monitor
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 271
อกเพิ่มเชน Active Directory ก็จะมีการติดตั้ง
– Directory service log เปนการเก็บคา Errors, Warning, และ Information ของ Active Directory โดยดูลําดับชนิดของเหตุการณืที่มีปญหาใน Acitve Directory
– File Replication service (FRS) เปนการตรวจสอบบริการที่รองรับ Multimaster file ที่มีการสงระหวาง Directory tree ที่ถูกแตงต้ัง โดยทํางานใน Windows Server 2003 ซึ่งจะมีการจัดการในดิสกที่เปน NTFS และมีเนื้อหาที่ถูกซิงโครไนสไปยังเครื่อง Domain Controller
เราสามารถใชคําสั่ง ntfrsutil เปน Command line ในการตรวจสอบได ซึ่งเปนเครื่องมือจาก Support Tools ของ Windows เอง เขาใจการใชงาน System Monitor System Monitor เปนเครื่องมือที่รองรับการตรวจสอบของการใชทรัพยากรในระบบปฏิบัติการ โดยเปนสวนที่เก็บอยูใน Performance Console หนาที่ของ System Monitor จะเหมือน Windows NT Performance Monitor, แตจะแตกตางจาก Microsoft Windows 98 System Monitor ซึง่สิ่งที่ผูบริหารระบบสามารถกําหนดไดมีดังนี้
- Performance Objects และ Performance Counters - System Monitor Properties
o การแบงชวงจัดเก็บ o การกําหนดแสดงผล
- การตรวจสอบประสิทธิภาพของ Active Directory สาธิตการใชงาน System Monitor สิ่งที่ควรปฏิบัติในการตรวจสอบประสิทธิภาพกับล็อก Directory Service และ System Monitor
- เก็บล็อก Directory service ใหใชโอเวอรเฮดดตํ่า ทั้งขนาดไฟล และการใช I/O โดยตรจสอบรอบความถี่ - เตรียมเครื่องสําหรับการตรวจสอบไว โดยเฉพาะ System Monitor - เก็บคาที่บันทึกไวใหใชคาโอเวอรเฮดดตํ่า
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 272
การแกปญหา Directory Service log และ System Monitor
- กําหนดคาตรวจสอบโดยกําหนดเปนรอบเวลา - เตรียมขอมูลในเครื่องที่ตองการตรวจสอบกอนที่เปดบริการ Performance Logs and Alerts - เก็บคาไฟลล็อกใชโอเวอรเฮดดตํ่า
การแกปญหา Performance Logs and Alerts
- คาที่บันทึกไมปรากฏในกราฟที่แสดง - มีขอความผิดพลาดขึ้นระหวางที่มีการสงขอมูลเปน Microsoft Excel ในขณะที่ Performance Logs and
Alerts service ทําการเก็บขอมูลอยู - การเชื่อมตอเครื่องทางไกลขอมูลเสียหาย ไมสามารถกูคืนได - Performance Logs and Alerts ไมล็อกขามเครื่อง
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 276
ปฏิบัติการที่ 30 การสราง และการบันทึกล็อกใน Performance Logs and Alerts
หลักสูตร Advanced Admnistrative Windows Server 2003
หนาที่ 277
14.3 การปรับแตง และการแกปญหาประสิทธิภาพ Active Directory ผูเรียนจะเขาใจสิ่งตางๆดังนี้
- การปรับแตง และการแกปญหาประสิทธิภาพ Active Directory - การแกปญหา Active Directory Performance กับ Directory service log - การแกปญหา Active Directory Performance กับ Performance Console
การปรับแตง และการแกปญหาประสิทธิภาพ Active Directory ตองรูจักกับการตรวจสอบ Active Directory performance โดยใชเครื่องมือ
– Directory service log ใน Event Viewer
– การดูล็อกใน System Monitor และ Performance Logs and Alerts คอยอัพเดตขอมูลที่ตรวจสอบเพื่อประสิทธิภาพที่ดีในการวิเคราะห การแกปญหา Active Directory Performance กับ Directory service log
- การเพิ่มลําดับล็อกใน Directory Service Log - การแกไข Registry บางรายการเพื่อตรวจสอบ (Regedit)
การเพิ่มลําดับล็อกใน Directory Service log
หลักสูตร Advanced Admnistrative Windows Server 2003
3. วางแผน และวางระบบที่เปลี่ยนบนพื้นฐานที่กําหนด a. วิเคราะหคากําหนดฮารดแวร และซอฟตแวร โดยดูจากคําแนะนําที่ Microsoft แจงใหทราบ b. ดูคา Directory service ในรอบเวลา โดยดูวาเกิดคอขวดหรือไม c. ตรวจสอบชนิดของแอพพลิเคชั่น ที่ทํางาน และทรัพยากรที่ตองการ d. พิจารณาประสิทธิภาพเครือขาย และดิสก ในชวงเวลาตางๆ e. พิจารณางานที่ทําใน งานตางๆที่ตางชวงเวลา วาทําอะไรในระบบ f. แกปญหาคอขวด ดวยวิธีการที่มีขั้นตอน และตาวจสอบสิ่งที่เปลี่ยนไป ทําซ้ํา หลังจากที่เปลี่ยนคา